(请参阅下面的更新)我收到亚马逊的通知,我的实例试图攻击另一台服务器。除了日志转储之外没有其他信息:
原始报告:
- 目标 IP:
- 目的港口:
- 目标网址:
- 滥用时间:2010 年 5 月 16 日星期日 10:13:00 UTC
- NTP:否
- 日志摘录:
外部 184.xxx.yyy.zzz,11.842.000 数据包/300 秒(39.473 数据包/秒),5 流/300 秒(0 流/秒),0,320 GByte/300 秒(8 MBit/秒)
(184.xxx.yyy.zzz 是我的实例 ip)
我如何知道是否有人入侵了我的实例?我应该采取哪些步骤来确保我的实例干净且可以安全使用?是否有一些入侵检测技术或日志可供我使用?
非常感谢任何提供的信息。
更新:我从亚马逊收到了更多日志文件。似乎我们的服务器正在扫描端口 22 的连续 IP 地址。我运行了 rkhunter 和 chkrootkit,但没有成功。我该怎么办?
答案1
您可以使用 chkrootkit 查找入侵迹象,但您应该安装受信任的二进制文件以配合使用,否则您的结果将令人怀疑。如果您还没有这样做,您应该确保不断修补它;我建议至少每天进行一次 cron 更新。有许多基于主机的入侵检测 (HIDS) 软件包可用,您需要研究它们以确定哪个适合您的需求。
最后要考虑的一件事是,你的 AMI 是从哪里获得的?我一直想知道是谁在使用上面那些看似无害的实例……你真的不知道它们来自哪里。这些很容易被原始上传者篡改。只是一些值得思考的问题。
答案2
我刚刚安装了 Scalr 的 AMI,发现一个黑客进程正在尝试扫描其他服务器的 phpmyadmin。这很可怕。