Làm thế nào để tìm lỗ hổng trong các dịch vụ Ubuntu? [đóng cửa]


1

Tôi có một máy chủ Ubuntu đang chạy. Hôm nay tôi thấy rằng máy chủ đã bị hack và đang được sử dụng cho DDoS thông qua báo cáo lạm dụng amazon.

Tôi tìm thấy những điều sau đây trên máy chủ.

Các tập tin đáng ngờ sau đây trên máy chủ.

-rw-r--r-- 1 www-data www-data      759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data  1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data        5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data  1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data        5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data      119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data       73 Feb  1 01:01 conf.n

Quá trình sau đây đã chạy

www-data  8292 10629  0 Jan28 ?        00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data  8293  8292  0 Jan28 ?        00:00:00 /bin/bash -i
www-data  8293  8292  0 Jan28 ?        00:00:00 ./huizhen

Tôi đã chạy clamavvà nó đã xóa /tmp/huizhen/tmp/sishencác tập tin nhưng các quy trình vẫn đang chạy weiwei.pl./huizhenvì vậy tôi đã giết chúng bằng tay.

Tôi có các dịch vụ sau đang chạy trên máy chủ.

  • SSH - Không sử dụng cổng mặc định 22, chỉ xác thực khóa
  • MongoDB - Cổng được mở cho một nhóm bảo mật cụ thể
  • Memcache - Cổng được mở cho một nhóm bảo mật cụ thể
  • NodeJS - Cổng được mở cho một nhóm bảo mật cụ thể
  • Các cổng Tomcat - 8080/8443 được công khai cho dịch vụ web trục2 và solr

Giả định của tôi là tin tặc đã xâm nhập vào một số lỗ hổng tomcat / ax2 / solr vì quá trình này đang chạy bằng cách sử dụng cùng một nhóm người dùng như tomcat.

Tôi đã chặn các cổng 8080/8443 và sẽ thay thế máy chủ bằng một cổng mới. Tomcat sẽ có thể truy cập từ một máy chủ khác thông qua nginx. Tôi cũng đã cài đặt các bản vá bảo mật bằng cách sử dụng các nâng cấp không giám sát .

Vấn đề là làm thế nào để tìm ra cách hacker xâm nhập và trồng trojan. Những bước khác tôi có thể làm để thắt chặt an ninh.


2
Lỗ hổng gần như chắc chắn ở tầng ứng dụng, vì vậy hãy xác nhận cấu hình máy chủ web của bạn và cấu hình của các ứng dụng bạn chạy trong đó. Xác nhận rằng máy chủ web và các thành phần ứng dụng của bạn (như thời gian chạy perl) được cập nhật.
Frank Thomas

Khi một máy chủ bị xâm nhập, việc dọn dẹp hoàn toàn sự lây nhiễm có lẽ sẽ rắc rối hơn giá trị của nó. Hãy xem xét cài đặt lại.
Ben N

@FrankThomas, Cảm ơn, bạn đã đúng. Đó là trên thực tế ở tầng ứng dụng. Bảng điều khiển quản trị trục2 có thể truy cập công khai với un / pw mặc định. Họ đã tìm thấy nó và tải lên một dịch vụ web cho phép truy cập vào các tính năng cấp thấp như thực thi các lệnh, truy cập shell, tạo tệp, v.v.
bitkot 2/2/2016

@BenN, đó là điều đầu tiên tôi sẽ làm nhưng điều này là đây không phải là lần đầu tiên xảy ra nên tôi phải tìm cánh cửa từ nơi họ bước vào.
bitkot 2/2/2016

Câu trả lời:


1

Đây là một câu hỏi khá hợp lý. Nói đúng ra, đặt cược tốt nhất của bạn để trả lời nó sẽ là đóng băng hệ thống của bạn và thực hiện các xét nghiệm pháp y. Bất kỳ sự can thiệp nào sau đó từ phía bạn, bao gồm loại bỏ vi rút, sẽ thay đổi và có thể xóa hoàn toàn bất kỳ mẩu bánh mì nào do kẻ xâm nhập của bạn để lại.

Cho rằng đường dẫn này không còn mở cho bạn nữa, điều tốt nhất là sử dụng Trình quét dễ bị tổn thương, một chương trình tức là được thiết kế chính xác để kiểm tra căng thẳng cài đặt của bạn. Có rất có thể, bạn có thể chỉ Google thuật ngữ Vulnerability Scanner, nhưng cho đến nay, nổi tiếng nhất là Nessus . Nó có nhiều phiên bản, từ miễn phí đến trả tiền với các giấy phép khác nhau, và nó có thể trở nên khá đắt đỏ, có thể nhiều hơn bạn sẵn sàng bỏ ra.

Tuy nhiên, cũng có một phiên bản miễn phí của nó, được cài đặt sẵn trên Kali Linux . Bạn sẽ phải đăng ký nó, mặc dù nó hoàn toàn miễn phí. Nhiều người trong chúng ta sử dụng Kali bằng cách cài đặt nó vào máy ảo trên máy tính xách tay, sau đó thực hiện các bài kiểm tra căng thẳng từ bên ngoài nhà của chúng tôi, để xem lỗi nào (= không được vá, lỗ hổng đã biết, thường gặp nhất) trên các ứng dụng chạy trên Máy chủ truy cập Internet.

Có những hướng dẫn dạy cho bạn cách sử dụng nó trên Internet và bạn cũng có thể thử nó trong mạng LAN của riêng bạn (nếu bạn tin tưởng vào tường lửa của mình) và thậm chí từ cùng một máy tính, nếu bạn sẽ chạy Kali dưới dạng VM.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.