※ [本文转录自 Linux 看板 #1JYOm-Eq ]
作者: dlikeayu (太阳拳vs野球拳) 看板: Linux
标题: [问题] 网站被当Dos攻击的跳台
时间: Sat May 31 16:00:52 2014
这几天收到AWS的通知
说我的EC2 Instance 去攻击别人
说我在05/30中午, 05/31早上这两天攻击别人
除了攻击别人的80port 也有攻击其它的port
我查了几个log
nginx/access.log
nginx/error.log
syslog
auth.log
因为网站上有架很多网站
然后透过nginx来做虚拟服务器
目前有以下几个疑点
1.wordpress
因为先前有传出xmlrpc的漏洞攻击
有架wordpress会被当僵尸来攻击别人
在30号时我查了跟xmlrpc.php有关的请求
log里只有在19号跟25号有请求过
请求数也才11个
在30号时我从wordpress的设定、function code、跟nginx去阻挡一切有关
xmlrpc请求的服务
但是在31号早上时还是收到警告，说我们还在攻击别人
2.ssh
因为原本是使用Key pair来登入vps
port也没改
过去在查auth.log也的确有很多的hack想要试探登入
但没有被登入的纪录(我也知道真的被登入也早被洗掉了= =)
在30号收到通知后
我去把port改掉
想说要是真的是骇入
又要有key pair又要猜port
应该没这么容易吧？
但31号...嗯
3.被我们攻击的服务器ip
我去cat |grep log都没查到我们有去攻击aws所说的ip
4.magento
在30号前几天，我们测试用的PHP套件magento
我用后台做了线上更新
而不是用下载回来的package去覆蓋升级
另外，此套件我们的后台帐密设的还蛮简单的(因为测试用)
5. cat xxx.log | grep ooo
我查了aws所说的攻击时间点附近的log
都没看到什么异常
6.netstat -ntu | awk xxxxxxx
有下这指令看有什么异常的传输
但是hack发起的时间点又不是一直持续的
所以我下这指令时，server并没有在攻击别人
也查不出个所以然...
7.利用Xss来做Dos?
最后有想到是不是这个可能
目前是想到wordpress跟magento
可能更新时被人植入后门
再透过这后门来做Dos攻击别人
另外magento要是后台被登入的话
hack也可以从后台去更改html code
以上
目前就想到这些
不知道还有哪些地方需要加强防范
或是有什么指令方法可以更明确的查到我们到底是怎么去攻击别人的纪录
还麻烦请教一下

关于第2点 其实port不用猜啊 nmap扫下就知道了www建议是先确定时间点吧 把相关的记录清查过这样才能确定是怎么攻击的

通常hacker只有植入木马那次才需要入侵系统,植好木马你每次重开机都会帮他跑攻击服务.若确定被入侵,从源头重灌有时是必要的.全系统备份可能都带有木马.你目前的状况是无法确认(都是别人告知),既然频率很高,守株查兔定时检查系统是否有不明对外站连线(最好就是被告知DOS的攻击对象)植入木马不一定走ssh,只要任何一个对外有开port接受连入的service有漏洞能让远端执行指令就是入侵的门户,这个只能检查你用的service有没有vulnerability没有更新或修正的例如:http://nginx.org/en/security_advisories.html我刚看了一下第一个vulnerability,时间很新,程度是严重等级,又是恶名昭彰的buffer over/underflow 来做到入侵者设计的code execution,这是很可能的入侵管道,如果你没修这个新出没多久的漏洞,那就赶快修一下,其它的major一定要修,后面的如果advisory里有提到code execution的也都要修.然后每个有对外服务的service (如ssh)或plug-in(如php等)都要类似处理另外就是最近很红的heartbleed,看看你的版本有没有中标?从上述漏洞入侵的,log一定没东西,log就像大门的摄影机,但小偷是挖密道进来的忘了讲如果你的系统没有随时接收distribution的安全性更新(一般production server不会随便更新,所以很可能没有),更要优先考虑各项service的vulnerabilities

....慢著 没开启ssl服务?

iptables -I OUTPUT 1 -s the_damn_Ip -j DROP直接ban掉output ip -.- 之后再慢慢找

换掉重架以后ssl存取的时候 限定ip区段ssh区段可以到twnic查

你确定开TW或HINET之类的够安全吗(笑只用keypair喔 扣掉OpenSSH自身有洞外应该是无敌安全了www 不过通常开口不在SSH就是你那个80底下跑的东西可以跑出你想都想不到的洞来(纯静态网页就当我没说XD

keypair流出去就糗了 没有百分百的安全danny8376, 开TW哪里不够安全 ㄎㄎ..骇客这么喜欢用跳板 你要遇到来自台湾的还真少平常用的区段就那几个最多加个手机用的区段再加上特定的Port 你又用 Key Pair 要入侵的机会有多高如果楼主的ssh被try表示aws firewall那里的ssh port设定就是anywhere 不被try怎么可能把Key Pair 当作是无敌安全的解法是很错误的观念把你常用的区段设定好，可以少很多事情

我该说keypair流出跟密码流出同样道理吗...要是流出就是你换port也一样至于挡区段... 自己这边好几台看来光换port就几乎没事了 ssh几乎也就22狂去try密码而已换port或keypair还出事几乎都是被针对了

我只想问是，限制使用区段这样是有多有问题@.@二来我也没有反对 keypair 不懂你问的够安全是什么意思??

这种扫描的... 都是被当肉鸡没自觉的 台湾也不少...(当然整体CN最多...)而对付扫描的... 说实话 换个port就挡掉99%有了

限定常用的ip区段有很大的问题吗..可没叫你把全台湾的IP列进换Port能挡，大部分是因为攻击脚本或Scanner的设定问题如果网站真的被针对，Key Pair or Firewall Access 控制很重要所以个人推崇 Firewall 一定优先设定，而且重要登入管道要用白名单的方式限制起来，就包含你nginx也可以用deny挡重要的后台或程式Key Pair 固然好，但是 Firewall 也很重要现在aws的ec2也通常由security group 管理，能先设定好你可以防止一些*nix程式的0dayopenssl、mysql相关漏洞就是一个很好的例子从来都没有人料想过authentication机制有天会被人家打爆

要我挡IP Range的话我会干脆找一个固定IP做入口就是了至于挡IP... 以原PO的种花来说...

我可建议XXX.YYY 为一个区段，最多三组，再配合一个手机用的区段

现在可能拿到的Range也不算少就是(倒...

或你也可以配固定IP＋手机区段向中华电信，你能拿到的最多区段只有三组那些区段也是地方性的手机区段则是..因为如果你不是用ec2的话，临时要处理你又无法用网络上的单人模式进入主机，那么就糟糕了所以我会把用手机上网的IP常用区段记下来，免得人在外面被ban另外这类的封锁要用drop 这样一来攻击脚本自己就先慢下来有很多的自动攻击程式没有所谓的timeout概念，个人还蛮坚持用手机区段的，因为固定ＩＰ真的机器有事动不到QQ

种花开头要看位置 有些人在的地方开头就真的跳很大(汗..

这挖不母斋~ 跳太大没办法，就算你是固定IP有天也会被强迫换中华电信已经强迫换过固定IP -___-如果真的没办法..把Port换到上万的数字就ok惹

所以我有台最小DO就专门拿来放固IP当绝对可用的入口XD

do的话 新加坡的机子要被换掉ip机会不大ny1~ny2我不晓得然后do上一堆scanner = =之前遇过XD程式都从github公开的攻击器拿的

便宜啊(笑

应该是酷碰XD.. freeeeeeee 10$ 20$ 50$

所以说便宜啊 0成本XD