Я установил стандартный сервер веб-приложений в AWS, используя битнами Apache-Tomcat AMI. Экземпляр работает в общедоступной подсети со всем открытым исходящим трафиком, но разрешает входящий трафик только через порт 22 (только с моего IP-адреса) и порты 80 и 443 от балансировщика нагрузки.
Недавно я столкнулся с огромным расходом данных, потому что каким-то образом экземпляр передал (исходящий) более 14 ТБ за последние пару недель. Я выключил сервер 2 дня назад, просто запустил его и ищу журналы любого описания, которые могут показать мне, что происходит. (Базовая отчетность AWS бесполезна). Я только что установил IPTraf, так что я могу, по крайней мере, контролировать сетевой трафик (все тихо), а также настроил несколько сигналов тревоги Cloud Watch, чтобы этого больше не повторилось.
Есть идеи, где я мог бы найти доказательства того, что вызвало массовую передачу исходящих данных и куда?
Ура
Что ж, резкий всплеск исходящих данных снова случился сегодня рано утром. Я использовал tshark (спасибо @tonioc), чтобы увидеть, что данные отправляются на несколько IP-адресов по всему миру и, в частности, в Китай ..: - / В любом случае я создавал несколько дампов из tshark и сохранял их в папке / tmp и понял, что там там находился файл под названием fake.cfg. Я сразу подумал, что это подозрительно, поэтому провел небольшое исследование и обнаружил, что мой сервер был взломан с использованием уязвимостей в host-manager, который поставляется с экземпляром tomcat-apache bitnami, который я запускал. Скорее всего, пароль был угадан, и они установили вредоносное приложение. В моей папке webapps также было приложение «hosts-manager», которого там не должно было быть, и внутри он содержал файл index.jsp с целым рядом вредоносных скриптов.
В любом случае я удалил все эти сценарии и полностью удалил доступ к host-manager и любым другим страницам с битнами из моей папки webapps, и теперь доступ может быть только к моему webapp. Я также удостоверился, что все пароли по умолчанию были изменены, и на моих экземплярах был установлен мониторинг пиков исходящих данных.
Некоторые статьи по проблемам:
http://www.coderanch.com/t/628222/Tomcat/fake-cfg-tmp-directory-lot https://stackoverflow.com/questions/20017515/aws-network-traffic-high-due-to-folder-29881-and-fake-cfg http://blog.rimuhosting.com/2013/08/09/old-tomcat-5-5-installs-being-exploited/
Думаю, сейчас у меня все хорошо.
Ура