我的提供商向我发送了一封电子邮件,指出我的根服务器似乎被滥用来攻击其他系统。
我如何检查这是否属实以及我的系统是否受到了损害?
我被告知有 4 天的时间来解决问题,并且我提供的所有信息均来自我的提供商的日志。
服务器运行 Debian Squeeze,始终保持最新状态。只有极少数用户拥有 ssh 访问权限,只能通过 jailkit 访问,因此他们能做的事情不多。Web 服务器 apache2 通过 suexec 和 FastCGI 运行,因此如果一个站点受到攻击,其他站点仍是安全的。有趣的是,报告的 IP 为 85.214.249.***,这是我的第二个 IP,一周前我才收到并激活了它。
rkhunter 每天都在我的服务器上运行,我刚刚又进行了一次全面检查,然后进行了 clamscan。没有结果。我将提供的日志条目与我自己的系统日志条目进行了比较,但一无所获。我所拥有的只是大量传入流量,apf-firewall 会阻止这些流量,因为它们不是合法流量。我在任何日志中都找不到这些 dreamhost 服务器或它们的任何 IP。
| Attacker's IP | Timestamp (Pacific Time) | Targeted Server | Attack ID | Attack Information |
-------------------------------------------------------------------------------------------------------
| 85.214.249.*** | 2012-04-16 11:15:01 | johnson.dreamhost.com | 28775675 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| 85.214.249.*** | 2012-04-16 11:12:55 | unuk.dreamhost.com | 28802766 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| 85.214.249.*** | 2012-04-16 10:50:29 | nationals.dreamhost.com | 28784913 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| 85.214.249.*** | 2012-04-16 11:03:23 | lakers.dreamhost.com | 28776910 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| 85.214.249.*** | 2012-04-16 11:02:27 | univox.dreamhost.com | 28803414 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
答案1
答案2
tcpdump 所有从相关 IP 到目标端口 80 和 443 的传出流量。在大多数系统中,通常不会出现太多此类流量。如果系统仍在积极尝试攻击其他系统,您可能会看到大量传出到不同主机的数据包。
如果您看不到任何流量,那么您可以肯定它目前没有发起攻击,但从这一点到得出没有受到攻击的结论还有很长的路要走。可能唯一能确定的方法就是找出攻击流量的来源。
既然您提到您最近才获得 IP,那么您的 ISP 是否可能仍有两台具有该 IP 的机器? - 以前的所有者可以静态配置它。也许您在系统上禁用该 IP(因为您有两个 IP,所以这应该不是问题 - 静态配置一个 IP 并启用 DHCP),然后尝试 ping 禁用的 IP。(虽然我不能 100% 确定我在这里说的是什么理智的话 - 我在这个话题上经验很少。)