Câu hỏi ubuntu server tham gia vào các cuộc tấn công ddos


Chúng tôi có một máy chủ ubuntu-11.04 đang chạy postfix có vẻ như đang tham gia tấn công vào các máy tính khác. Các quy trình sau đã được quan sát trên máy chủ:

www-data  6465 28192  0 08:52 ?        00:00:00 /bin/bash ./su 62.150
www-data  6469  6465  0 08:52 ?        00:00:00 sleep 10
www-data 19614     1 63 Nov14 ?        08:48:26 klogd -x
www-data 28191     1  0 Nov13 ?        00:00:00 sh -c ./rand 2>&1 3>&1
www-data 28192 28191  0 Nov13 ?        00:00:17 /bin/bash ./rand
www-data 31401     1  0 Nov12 ?        00:00:00 sh -c ./rand 2>&1 3>&1
www-data 31402 31401 20 Nov12 ?        14:45:44 /bin/bash ./rand

Ngoài ra, các mục sau đây nằm trong /var/log/auth.log

Nov 10 13:46:06 smtp2 su[21335]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:07 smtp2 su[21335]: pam_authenticate: Authentication failure
Nov 10 13:46:07 smtp2 su[21335]: FAILED su for root by www-data
Nov 10 13:46:07 smtp2 su[21335]: - /dev/pts/0 www-data:root
Nov 10 13:46:08 smtp2 su[21336]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:10 smtp2 su[21336]: pam_authenticate: Authentication failure
Nov 10 13:46:10 smtp2 su[21336]: FAILED su for root by www-data
Nov 10 13:46:10 smtp2 su[21336]: - /dev/pts/0 www-data:root
Nov 10 13:46:10 smtp2 su[21337]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:13 smtp2 su[21337]: pam_authenticate: Authentication failure
Nov 10 13:46:13 smtp2 su[21337]: FAILED su for root by www-data
Nov 10 13:46:13 smtp2 su[21337]: - /dev/pts/0 www-data:root
Nov 10 13:46:13 smtp2 su[21338]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:14 smtp2 su[21338]: pam_authenticate: Authentication failure
Nov 10 13:46:14 smtp2 su[21338]: FAILED su for root by www-data

Thực hiện tìm kiếm trên hệ thống cho các tệp có tên rand sẽ tiết lộ những điều sau:

find . -name rand -print
./tmp/rup/rand

/tmp có những điều sau đây:

drwxr-xr-x 2 www-data www-data    4096 2013-11-15 10:24 rup
-rw-r--r-- 1 www-data www-data 1080938 2013-11-13 13:51 rup.tgz

Điều này có bình thường không? Có vẻ như máy chủ đã bị nhiễm tại một số điểm mặc dù các cổng mở duy nhất là pop3 và smtp. Máy chủ có thể bị lây nhiễm bằng các cổng này không? Nếu có, những gì có thể được thực hiện để bảo vệ máy chủ khỏi bị nhiễm trùng hơn nữa?


1
2017-11-15 16:57


gốc


bạn có thể thêm đầu ra của w ? Bạn cũng đang chạy một máy chủ web Apache trên cùng một hộp? - Anders F. U. Kiær
Có vẻ như một cái gì đó giống như một cái gì đó / ai đó quản lý để thỏa hiệp của bạn www-data tài khoản người dùng và cố gắng thực hiện một đặc quyền leo thang. cat /etc/passwd | grep www-data nếu kết quả bắt đầu bằng bất cứ điều gì khác hơn www-data:x: Bạn đã kiểm tra / var / www / * đối với các tệp lạ? - Anders F. U. Kiær
Không nghi ngờ gì, máy chủ của bạn dường như bị xâm phạm. Bạn cũng có thể cảm thấy tự do để thêm đầu ra của lastlog. - Anders F. U. Kiær
Đầu ra của w không hiển thị nhiều hoạt động tại thời điểm này. w 12:32:48 lên 6 ngày, 21:26, 1 người dùng, tải trung bình: 3,38, 3,21, 3,10 - archana
Có vẻ như không có bất kỳ tệp lạ nào trong / var / www. Chúng tôi đã không cố ý thiết lập một máy chủ web apache nhưng nó có thể là một phần của quá trình cài đặt. Tệp passwd hiển thị mục nhập này: www-data: x: 33: 33: www-data: / var / www: / bin / sh Tôi đã sai về cổng nào đang mở. Sau đây là mở cho tcp: www, pop3, tên miền, imap4, 587, https, smtp. miền được mở cho udp. Cổng nào sẽ được mở để chỉ gửi và nhận email? - archana


Các câu trả lời:


Có, nó có thể bị lây nhiễm từ bất kỳ dịch vụ có lỗ hổng bất kể cổng hoặc dịch vụ đó là gì.

Trong trường hợp của bạn, Ubuntu 11.04 đã hết hạn (EOL) ngày 28 tháng 10 năm 2012. Trừ khi bạn có thói quen tốt để nâng cấp hoặc phát hiện và vá lỗ hổng, tôi khuyên bạn nên gắn bó với bản phát hành Ubuntu LTS cho máy chủ trong môi trường sản xuất. Ubuntu 12.04.3 LTS (hỗ trợ dài hạn) sẽ là lựa chọn hợp lý vì nó sẽ được hỗ trợ với các bản cập nhật bảo mật cho tháng 4 năm 2017.

Nó tồn tại rất nhiều hướng dẫn về Làm thế nào để bảo vệ máy chủ Ubuntu, tìm kiếm trên internet và cố gắng lọc những gì sẽ là tốt nhất cho các dịch vụ của bạn.

Nếu bạn quyết định gắn bó với Ubuntu 12.04 LTS, tôi có gợi ý để xem hướng dẫn máy chủ. Nó cũng có một phần an ninh.  Fail2ban có thể là sự quan tâm của bạn. Nhưng có lẽ quan trọng nhất là nâng cấp bảo mật tự động lăn.


2
2017-11-15 19:49