(См. Обновление ниже). Я получил уведомление от Amazon о том, что мой экземпляр пытался взломать другой сервер. кроме дампа журнала дополнительной информации не было:
Исходный отчет:
Внешний 184.xxx.yyy.zzz, 11,842,000 пакетов / 300 с (39,473 пакетов / с), 5 потоков / 300 с (0 потоков / с), 0,320 ГБ / 300 с (8 Мбит / с)
(184.xxx.yyy.zzz - мой IP-адрес экземпляра)
Как я могу узнать, проник ли кто-нибудь в мой экземпляр? Какие шаги я должен предпринять, чтобы убедиться, что мой экземпляр чист и безопасен в использовании? Есть ли какой-нибудь технический журнал или журнал для обнаружения вторжений, который я могу использовать?
Любая информация приветствуется.
ОБНОВЛЕНИЕ: я получил дополнительные файлы журналов от Amazon. похоже, что наш сервер сканирует последовательные IP-адреса для порта 22. Я безуспешно запускал rkhunter и chkrootkit. Что я могу сделать?
Вы можете искать признаки вторжения с помощью chkrootkit, но вам следует установить доверенные двоичные файлы для использования с ним, иначе ваши результаты будут подозрительными. Если вы еще этого не сделали, вы должны постоянно исправлять его; Я бы посоветовал обновлять cron хотя бы раз в день. Доступно множество пакетов для обнаружения вторжений (HIDS) на основе хоста, вам необходимо изучить их, чтобы определить, какой из них подходит для ваших нужд.
И последнее, о чем следует подумать, откуда вы взяли свой AMI? Мне всегда было интересно, кто использует некоторые из, казалось бы, безобидных экземпляров наверху ... что вы действительно не имеете ни малейшего представления, откуда они взялись. Они могут быть легко изменены первоначальным загрузчиком. Просто пища для размышлений.
Я только что установил AMI из Scalr и обнаружил, что процесс взлома пытается сканировать phpmyadmin других серверов. Это страшно.