У меня есть экземпляр EC2, который мог быть взломан. Экземпляр отвечает слишком медленно на прошлой неделе, и недавно я проверил httpd access_logs, и они превышают 11 ГБ, несмотря на открытие экземпляра EC2 только в прошлом месяце. Сегодняшний access_log растет. В файле журнала полно сайтов, не имеющих ничего общего с сайтом, над которым я работаю.
У горстки людей был доступ по ssh, но я его отменил. Тем не менее, файлы журналов растут.
В итоге получил несколько писем от Amazon о «злоупотреблениях» и обнаружил, что активность почты резко возросла. Как ни странно, я никогда не настраивал почтовую службу на этом экземпляре, но брандмауэр был настроен так, чтобы разрешать доступ по протоколу smtp (среди прочего), это несмотря на то, что я установил только доступ к порту 80 и несколько портов 22.
Я не особо разбираюсь в серверах и не знаю никого.
Я изменил свои пароли на Amazon и создал новые коды доступа. Поменял порты для ssh на другие.
Буду очень признателен за любой совет по этому поводу. Спасибо.
//******** *РЕДАКТИРОВАТЬ *********/
Теперь я считаю, что это было результатом использования моего сервера в качестве прокси. Согласно этим рекомендациям http://wiki.apache.org/httpd/ProxyAbuse Мне удалось остановить подавляющее большинство ложного трафика, идущего на сайт, хотя запросы все еще накапливаются в access_logs. Я подтвердил это, пытаясь использовать свой сервер в качестве прокси, и он заставляет пользователей напрямую заходить на сайт - как я предполагаю, это должно быть - вместо, скажем, yahoo.com.
Я не знаю, было ли это решением, но пока, похоже, оно работает - пока.
Тем не менее, опубликованные ответы открыли мне глаза. Если кому-то есть что рассказать, я с удовольствием это выслушаю. Огромное спасибо!
Просматривайте страницы, которые вы обслуживаете, ищите что-нибудь вроде спам-ссылок или кода эксплойта, который был вставлен на ваш сервер. Лучше всего сравнить ваши статические файлы с резервной копией и посмотреть, не было ли что-то изменено.
Закройте порт 25 на брандмауэре, если вы его не используете.
Вы можете использовать такие инструменты, как rkhunter:
http://www.rootkit.nl/projects/rootkit_hunter.html
и chkrootkit:
чтобы попытаться обнаружить инструменты, которые хакеры используют для сохранения контроля над вашей системой.
Используйте такой инструмент, как Nexpose, чтобы найти уязвимости в своем веб-приложении и ОС, и следуйте их рекомендациям по устранению этих уязвимостей:
Если запросы все еще поступают, измените эластичный IP-адрес. Часто к публичным прокси-серверам обращаются по IP-адресу, это должно остановить оставшийся трафик.
Когда вы его получите, стоит проверить любой IP-адрес, назначенный вам в Google. У меня был один, который был указан как прокси, поэтому я просто получил другой.
Может быть один из двух способов злоупотребления или взлома сервера. Сначала через программный эксплойт, а затем через маршрут веб-приложения. Я бы сначала проверил это на наличие программных эксплойтов, а затем проверил бы веб-приложение.
Возможные проблемы. В произвольном порядке
Если вы не используете почтовую рассылку, заблокируйте smtp на брандмауэре, чтобы предотвратить повреждение.