Fw: [问题] 网站被当Dos攻击的跳台

楼主: dlikeayu (太阳拳vs野球拳)   2014-05-31 16:06:09
※ [本文转录自 Linux 看板 #1JYOm-Eq ]
作者: dlikeayu (太阳拳vs野球拳) 看板: Linux
标题: [问题] 网站被当Dos攻击的跳台
时间: Sat May 31 16:00:52 2014
这几天收到AWS的通知
说我的EC2 Instance 去攻击别人
说我在05/30中午, 05/31早上这两天攻击别人
除了攻击别人的80port 也有攻击其它的port
我查了几个log
nginx/access.log
nginx/error.log
syslog
auth.log
因为网站上有架很多网站
然后透过nginx来做虚拟服务器
目前有以下几个疑点
1.wordpress
因为先前有传出xmlrpc的漏洞攻击
有架wordpress会被当僵尸来攻击别人
在30号时我查了跟xmlrpc.php有关的请求
log里只有在19号跟25号有请求过
请求数也才11个
在30号时我从wordpress的设定、function code、跟nginx去阻挡一切有关
xmlrpc请求的服务
但是在31号早上时还是收到警告,说我们还在攻击别人
2.ssh
因为原本是使用Key pair来登入vps
port也没改
过去在查auth.log也的确有很多的hack想要试探登入
但没有被登入的纪录(我也知道真的被登入也早被洗掉了= =)
在30号收到通知后
我去把port改掉
想说要是真的是骇入
又要有key pair又要猜port
应该没这么容易吧?
但31号...嗯
3.被我们攻击的服务器ip
我去cat |grep log都没查到我们有去攻击aws所说的ip
4.magento
在30号前几天,我们测试用的PHP套件magento
我用后台做了线上更新
而不是用下载回来的package去覆蓋升级
另外,此套件我们的后台帐密设的还蛮简单的(因为测试用)
5. cat xxx.log | grep ooo
我查了aws所说的攻击时间点附近的log
都没看到什么异常
6.netstat -ntu | awk xxxxxxx
有下这指令看有什么异常的传输
但是hack发起的时间点又不是一直持续的
所以我下这指令时,server并没有在攻击别人
也查不出个所以然...
7.利用Xss来做Dos?
最后有想到是不是这个可能
目前是想到wordpress跟magento
可能更新时被人植入后门
再透过这后门来做Dos攻击别人
另外magento要是后台被登入的话
hack也可以从后台去更改html code
以上
目前就想到这些
不知道还有哪些地方需要加强防范
或是有什么指令方法可以更明确的查到我们到底是怎么去攻击别人的纪录
还麻烦请教一下
作者: asdfghjklasd (好累的大一生活)   2014-05-31 18:35:00
请一个IT专家
作者: coflame (吾养吾浩然之气)   2014-06-01 03:26:00
用WireShark去录封包, 应该可以确定是不是有问题另外, 改Port只要用Port Scan一样还是可以扫出来
作者: trumpete (流浪)   2014-06-06 11:06:00
我M起来 希望以后资安的议题多一些

Links booklink

Contact Us: admin [ a t ] ucptt.com