我已经使用 bitnami Apache-Tomcat AMI 在 AWS 中设置了一个标准 Web 应用程序服务器。该实例在公共子网中运行,所有出站流量均已打开,但仅允许通过端口 22(仅来自我的 IP)和来自负载均衡器的端口 80 和 443 入站流量。
最近我被收取了巨额数据费用,因为在过去几周里,该实例不知何故传输(出站)了超过 14TB 的数据。我 2 天前关闭了服务器,刚刚启动它,正在寻找任何可能显示发生了什么的日志。(基本的 AWS 报告毫无用处)。我刚刚安装了 IPTraf,这样我至少可以监控网络流量(一切都很安静),并且还设置了一些 Cloud Watch 警报,以确保这种情况不会再次发生。
有什么想法我可以在哪里找到证据来证明是什么导致了大量数据传出以及传到哪里?
干杯
答案1
今天早上,出站数据再次激增。我使用 tshark(感谢 @tonioc)发现数据被发送到世界各地的多个 IP,更具体地说是中国。:-/ 无论如何,我从 tshark 创建了一些转储并将它们存储在 /tmp 文件夹中,然后意识到那里有一个名为 fake.cfg 的文件。我立刻觉得这很可疑,于是做了一些研究,发现我的服务器被黑客利用了主机管理器中的漏洞,该漏洞随我正在运行的 tomcat-apache bitnami 实例一起提供。很可能密码是猜测的,他们安装了一个恶意应用程序。我的 webapps 文件夹中还有一个“hosts-manager”应用程序,它不应该在那里,里面包含一个 index.jsp 文件,其中包含一系列恶意脚本。
无论如何,我已经清除了所有这些脚本,并从我的 webapps 文件夹中完全删除了对 host-manager 和任何其他 bitnami 页面的访问权限,现在只有我的 webapp 可以访问。我还确保已更改所有默认密码,并已在我的实例上监控出站数据峰值。
有关该问题的一些文章:
http://www.coderanch.com/t/628222/Tomcat/fake-cfg-tmp-directory-lot https://stackoverflow.com/questions/20017515/aws-network-traffic-high-due-to-folder-29881-and-fake-cfg http://blog.rimuhosting.com/2013/08/09/old-tomcat-5-5-installs-being-exploited/
我认为目前我一切都很好。
干杯