Вопросы Теги

SSH нападают на CentOS Amazon EC2

Вы могли бы найти то, что Вы ищете здесь: http://blog.haproxy.com/2014/01/17/emulating-activepassing-application-clustering-with-haproxy/

2
задан 16 November 2011 в 15:41
4 ответа

В основном Вы завинчены.

Если Вы были на самом деле использованы, они, возможно, добавили себя бэкдор в двоичный файл SSHD или любой другой файл в системе... Так как источник доступен, это легко сделать, и чрезвычайно трудно определить, если Вы не запланировали заранее.

Если у Вас не было Растяжки или подобный установленной, прежде чем проблема произошла, Вы в основном оказываетесь перед необходимостью проверять каждый файл в системе против известной чистой установки.

Легче просто переместить Ваше приложение в чистый сервер.

Лучшее предотвращение является сканером целостности файлов. В основном это проверяет каждый файл в системе и напортачило в нем. Затем это периодически повторно сканирует и уведомляет Вас относительно любых изменений. Делает очищают бриз.

Я соглашаюсь, что Вы, вероятно, не стали использованными через SSH... Я почти никогда не видел, что происходят, и когда это действительно происходит, это обычно из-за неисправленной уязвимости в демоне. Скот, вызывающий пароль SSH, обычно является проигранным делом.

Править: Я читал на Osiris этим днем, и это выглядит довольно прохладным. Это периодически повторно сканирует и посылает Вам электронное письмо измененных файлов. Версия для предприятия Растяжки предлагает проверку в реальном времени, но конечно необходимо заплатить за нее. Существует версия с открытым исходным кодом Растяжки также, которая подняла узды с большого количества растяжки с открытым исходным кодом значительно старше и довольно тверда также.

5
ответ дан 3 December 2019 в 09:00
  • 1
    Привет Спасибо. Мне установили Помощника теперь, и работает на еженедельном кроне, там какое-либо средство проверки целостности, которое может уведомить сразу, когда некоторый системный файл изменяется? –  user37143 13 May 2010 в 18:37
  • 2
    @user37143 - см. tripwire/osiris, как предложено в моем сообщении. –  sh-beta 13 May 2010 в 19:48

Вы уверены, что это не Rightscales "rightscripts" (шеф-повар), просто прокладывающий по Вашим изменениям?

Его крайне маловероятное Ваш sshd получил comprimised, если Вы не используете шесть символьных строчных английских паролей слова.

0
ответ дан 3 December 2019 в 09:00
  • 1
    Я получил сильные пароли, сгенерированные сценариями Python –  user37143 14 May 2010 в 07:30
  • 2
    Привет. Я шотландский берет, пытающийся проверять, запрещают ли Rightscript и его. Но я не могу удалить демона rightscle –  user37143 14 May 2010 в 12:58

Перед чем-либо еще: сделайте вдвойне бесспорными с кем-либо еще, у кого есть root/sudo доступ, что они не реконфигурировали это. Вы не хотите идти, преследуя нападение, которого не произошло.

Примечание: сценарий нападения звучит маловероятным. Большинство людей, достаточно умных для взлома машины, не достаточно глупо изменить такие очевидные вещи, поскольку порт SSH слушает на. Почему беспокойство?

После того как Вы решили, что Ваша машина была поставлена под угрозу, рассмотрите что-либо, что Вы ввели или сохранили на той общедоступной информации сервера. Пароли изменения, ключи SSH, и т.д.

Затем, необходимо определить наиболее вероятную точку входа. Если у Вас нет некоторых смешных паролей, я сомневаюсь очень, что SSH был исходным компромиссом. Астрономически более вероятный то, что кто-то получил доступ через одно из Ваших веб-приложений.

  • Изолируйте каждое из своих приложений к его собственному совершенно новому экземпляру EC2. Они являются дешевыми. Компромиссы безопасности могут уничтожить Ваш бизнес. Выполнение этого поможет Вам изолировать любые уязвимости к отдельному приложению, которое имеет удобный побочный эффект обвинения, когда/если нападение действительно происходит.

  • Проверьте свои версии на известные уязвимости. Или проявите подход ружья и обновите все до его новейшей версии.

  • Если какое-либо из Ваших приложений работает как корень, фиксирует это теперь.

  • Если какое-либо из Ваших приложений работает вне chroot, фиксирует это теперь.

  • Создайте центральный сервер системного журнала без стоящих внешним образом серверов. Установите каждые из своих приложений для входа максимально verbosely с помощью системного журнала к этому серверу. Когда/если нападение произойдет, Вам будет нужна судебная экспертиза для определения, куда это прибыло из и как они вошли.

  • Если Вы предоставляете паролю доступ SSH к этим серверам, не делать. Изменитесь на ssh ключи.

  • Полагайте, что Растяжка установки, Osiris или другой монитор целостности определяют, когда что-то плохо произойдет.

Сложный взломщик попытается замести следы. Если Вы не имеете в распоряжении мониторы и гарантии для записи то, что продолжается в, упорно искание его будет упражнением в тщетности. Сохраните свою систему максимально безопасной и удостоверьтесь, что любое нечетное действие не останется незамеченным.

Править

Так как Вы упомянули некоторые отклоненные разрешением ошибки для корня, проверьте, что корень является единственным пользователем, присвоенным UID 0 (getent passwd 0). В противном случае Вы определенно скомпрометированы.

2
ответ дан 3 December 2019 в 09:00
  • 1
    Никогда не использовал Osiris и I' ve, ища замену Растяжки. Вам нравится он? –  Satanicpuppy 13 May 2010 в 17:52
  • 2
    Вы имеете в виду некоторую вещь как Splunk для контроля журнала? Я начал использовать Помощника, но it' s на еженедельном кроне. Как я могу быть внезапно уведомлен, когда что-то изменяется? Если какое-либо из Ваших приложений работает вне chroot, фиксирует это теперь. Извините я не получил то, что Вы имеете в виду это. Я запускаю все приложения на/home/user/public_html с/home/user, полученным 755. Как они делают sshd_config даже не доступным для редактирования корнем? –  user37143 13 May 2010 в 18:40
  • 3
    @satanicpuppy - i' ve только коснулся Osiris мимоходом, но I' ve слышал очень хорошие вещи. –  sh-beta 13 May 2010 в 19:38
  • 4
    @user37143 - serverfault.com/search?q=chroot , Но действительно, если Вы don' t знают то, что chroot является you' ре способом по Вашей голове, пытающейся обратиться к компромиссам безопасности. Рассмотрите найм консультанта или аутсорсинг Вашего хостинга. –  sh-beta 13 May 2010 в 19:44
  • 5
    обновление после нахождения нарушения защиты является своего рода спорным вопросом. возможности утилиты управления пакетом дистрибутивов полностью вытереть компромисс рядом с нолем. если Вы хотите, оцениваете, куда нападение прибыло из, и как Вы были скомпрометированы. но после этого, очистка все и запускаются. –  cpbills 13 May 2010 в 19:49

Если какие-либо бинары были изменены, вы можете запустить "rpm -aV". Это будет соответствовать md5 установленным rpm вместо двоичного файла на диске (а также проверять разрешения и тому подобное). Это не совсем tripwire - и не будет определять, явно ли изменился какой-либо загруженный пользователем контент, но если что-то было изменено в / usr или / bin и т. Д., Оно должно появиться.

Он будет отмечать кучу ложных срабатываний для вещей в / etc который был намеренно изменен, поэтому вам нужно будет просмотреть его вывод после его запуска.

1
ответ дан 3 December 2019 в 09:00

Теги

Похожие вопросы