Fw: [問題] 網站被當Dos攻擊的跳台

看板Web_Design作者dlikeayu (太陽拳vs野球拳)時間10年前 (2014/06/01 02:17)推噓2(2推 0噓 69→)

留言71則, 4人參與討論串1/1

※ [本文轉錄自 Linux 看板 #1JYOm-Eq ] 作者: dlikeayu (太陽拳vs野球拳) 看板: Linux 標題: [問題] 網站被當Dos攻擊的跳台時間: Sat May 31 16:00:52 2014 這幾天收到AWS的通知說我的EC2 Instance 去攻擊別人說我在05/30中午, 05/31早上這兩天攻擊別人除了攻擊別人的80port 也有攻擊其它的port 我查了幾個log nginx/access.log nginx/error.log syslog auth.log 因為網站上有架很多網站然後透過nginx來做虛擬伺服器目前有以下幾個疑點 1.wordpress 因為先前有傳出xmlrpc的漏洞攻擊有架wordpress會被當僵屍來攻擊別人在30號時我查了跟xmlrpc.php有關的請求 log裏只有在19號跟25號有請求過請求數也才11個在30號時我從wordpress的設定、function code、跟nginx去阻擋一切有關 xmlrpc請求的服務但是在31號早上時還是收到警告，說我們還在攻擊別人 2.ssh 因為原本是使用Key pair來登入vps port也沒改過去在查auth.log也的確有很多的hack想要試探登入但沒有被登入的紀錄(我也知道真的被登入也早被洗掉了= =) 在30號收到通知後我去把port改掉想說要是真的是駭入又要有key pair又要猜port 應該沒這麼容易吧？但31號...嗯 3.被我們攻擊的伺服器ip 我去cat |grep log都沒查到我們有去攻擊aws所說的ip 4.magento 在30號前幾天，我們測試用的PHP套件magento 我用後台做了線上更新而不是用下載回來的package去覆蓋升級另外，此套件我們的後台帳密設的還蠻簡單的(因為測試用) 5. cat xxx.log | grep ooo 我查了aws所說的攻擊時間點附近的log 都沒看到什麼異常 6.netstat -ntu | awk xxxxxxx 有下這指令看有什麼異常的傳輸但是hack發起的時間點又不是一直持續的所以我下這指令時，server並沒有在攻擊別人也查不出個所以然... 7.利用Xss來做Dos? 最後有想到是不是這個可能目前是想到wordpress跟magento 可能更新時被人植入後門再透過這後門來做Dos攻擊別人另外magento要是後台被登入的話 hack也可以從後台去更改html code 以上目前就想到這些不知道還有哪些地方需要加強防範或是有什麼指令方法可以更明確的查到我們到底是怎麼去攻擊別人的紀錄還麻煩請教一下 -- 標題 Re: [問卦] 第一次約伊湄出門該去哪裡用餐?

推

xyz4594

01/18 01:51,

01/18 01:51

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.91.157 ※ 文章網址: http://www.ptt.cc/bbs/Linux/M.1401523262.A.3B4.html ※ dlikeayu:轉錄至看板 MIS 05/31 16:06

→

dododavid006

05/31 18:29, , 1^F

05/31 18:29, 1^F

→

dododavid006

05/31 18:31, , 2^F

05/31 18:31, 2^F

→

dododavid006

05/31 18:32, , 3^F

05/31 18:32, 3^F

AWS只有寄信來說哪個時間點然後哪個IP哪個Port被我們攻擊其它像把我們當白痴一樣也沒提細節實在是很難找...

→

bitlife

05/31 19:01, , 4^F

05/31 19:01, 4^F

→

bitlife

05/31 19:02, , 5^F

05/31 19:02, 5^F

→

bitlife

05/31 19:03, , 6^F

05/31 19:03, 6^F

→

bitlife

05/31 19:04, , 7^F

05/31 19:04, 7^F

→

bitlife

05/31 19:05, , 8^F

05/31 19:05, 8^F

這前提是真的被ssh登入了，但目前沒查到被例外登入就是所以只有可能是被XSS或是更新套件時才被植入主要還是希望有更多細節或是高高手提供方法讓小弟去找出細節來... ※ 編輯: dlikeayu (1.34.4.90), 05/31/2014 22:52:58

→

bitlife

05/31 23:03, , 9^F

05/31 23:03, 9^F

→

bitlife

05/31 23:05, , 10^F

05/31 23:05, 10^F

→

bitlife

05/31 23:06, , 11^F

05/31 23:06, 11^F

→

bitlife

05/31 23:07, , 12^F

05/31 23:07, 12^F

→

bitlife

05/31 23:12, , 13^F

05/31 23:12, 13^F

→

bitlife

05/31 23:13, , 14^F

05/31 23:13, 14^F

→

bitlife

05/31 23:14, , 15^F

05/31 23:14, 15^F

→

bitlife

05/31 23:15, , 16^F

05/31 23:15, 16^F

→

bitlife

05/31 23:15, , 17^F

05/31 23:15, 17^F

→

bitlife

05/31 23:16, , 18^F

05/31 23:16, 18^F

→

bitlife

05/31 23:16, , 19^F

05/31 23:16, 19^F

php因為我是用nginx再走unix socket 所以真要進來也只有port 80了 ssh authorized_keys也確認只有我的pub key 使用者沒開密碼

→

bitlife

05/31 23:17, , 20^F

05/31 23:17, 20^F

→

bitlife

05/31 23:20, , 21^F

05/31 23:20, 21^F

→

bitlife

05/31 23:20, , 22^F

05/31 23:20, 22^F

→

bitlife

05/31 23:31, , 23^F

05/31 23:31, 23^F

→

bitlife

05/31 23:31, , 24^F

05/31 23:31, 24^F

→

bitlife

05/31 23:31, , 25^F

05/31 23:31, 25^F

嗯，這台server incoming只有開 ssh跟80 nginx 我的版本是1.6.0 目前看來是沒在名單內 heartbleed的話，剛看是沒開啟ssl服務這下又頭痛了，不過還是感謝你幫忙過瀘掉一些可能性:D 這邊偷自介一下因為小弟只是個程式設計師 system engineer的知識有限還請多多指教... ※ 編輯: dlikeayu (1.34.4.90), 06/01/2014 02:13:43 ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: dlikeayu (1.34.4.90), 06/01/2014 02:17:45

推

mrbigmouth

06/01 03:12, , 26^F

06/01 03:12, 26^F

嗯的確沒放ssl 這個主機上放的都是demo用的網站跟showcase 這邊順便問一下經驗一般公司企業會在這種類型的主機掛ssl嗎？

→

up9cloud

06/01 05:51, , 27^F

06/01 05:51, 27^F

→

up9cloud

06/01 05:53, , 28^F

06/01 05:53, 28^F

推