我的提供商向我发送了一封电子邮件,指出我的根服务器似乎被滥用来攻击其他系统。
我如何检查这是否属实以及我的系统是否受到了损害?
我被告知有 4 天的时间来解决问题,并且我提供的所有信息均来自我的提供商的日志。
服务器运行 Debian Squeeze,始终保持最新状态。只有极少数用户拥有 ssh 访问权限,只能通过 jailkit 访问,因此他们能做的事情不多。Web 服务器 apache2 通过 suexec 和 FastCGI 运行,因此如果一个站点受到攻击,其他站点仍是安全的。有趣的是,报告的 IP 为 85.214.249.***,这是我的第二个 IP,一周前我才收到并激活了它。
rkhunter 每天都在我的服务器上运行,我刚刚又进行了一次全面检查,然后进行了 clamscan。没有结果。我将提供的日志条目与我自己的系统日志条目进行了比较,但一无所获。我所拥有的只是大量传入流量,apf-firewall 会阻止这些流量,因为它们不是合法流量。我在任何日志中都找不到这些 dreamhost 服务器或它们的任何 IP。
| Attacker's IP | Timestamp (Pacific Time) | Targeted Server | Attack ID | Attack Information |
-------------------------------------------------------------------------------------------------------
| 85.214.249.*** | 2012-04-16 11:15:01 | johnson.dreamhost.com | 28775675 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| 85.214.249.*** | 2012-04-16 11:12:55 | unuk.dreamhost.com | 28802766 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| 85.214.249.*** | 2012-04-16 10:50:29 | nationals.dreamhost.com | 28784913 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| 85.214.249.*** | 2012-04-16 11:03:23 | lakers.dreamhost.com | 28776910 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
| 85.214.249.*** | 2012-04-16 11:02:27 | univox.dreamhost.com | 28803414 | e107 BBCode Arbitrary PHP Code Execution Vulnerability |
答案1
首先,如果您的系统受到威胁,您就不能相信您的日志。Rootkit 会让您以为一切都在正常运行。检测服务器中是否存在非法流量的唯一方法是在流量离开您的机器后对其进行嗅探(这可以通过交换机上的中继器端口来完成)。
因此不幸的是,这可能意味着:
答案2
tcpdump 所有从相关 IP 到目标端口 80 和 443 的传出流量。在大多数系统中,通常不会出现太多此类流量。如果系统仍在积极尝试攻击其他系统,您可能会看到大量传出到不同主机的数据包。
如果您看不到任何流量,那么您可以肯定它目前没有发起攻击,但从这一点到得出没有受到攻击的结论还有很长的路要走。可能唯一能确定的方法就是找出攻击流量的来源。
既然您提到您最近才获得 IP,那么您的 ISP 是否可能仍有两台具有该 IP 的机器? - 以前的所有者可以静态配置它。也许您在系统上禁用该 IP(因为您有两个 IP,所以这应该不是问题 - 静态配置一个 IP 并启用 DHCP),然后尝试 ping 禁用的 IP。(虽然我不能 100% 确定我在这里说的是什么理智的话 - 我在这个话题上经验很少。)