我的 ISP 联系了我,说我的 LAMP 服务器受到了未经授权的攻击。以下是他们附上的部分日志:
15:26:16.821245 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1
15:26:16.821248 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1
15:26:16.821251 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1
15:26:16.821253 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1
我该如何调查此事?
答案1
首先,关闭或断开服务器与网络的连接。这将阻止任何仍在进行的攻击。您的服务器很可能已被入侵。您需要完全重新安装并从已知良好的备份中恢复。是的,这很麻烦,但这是确保您正在恢复“干净”文件的唯一万无一失的方法。在执行此操作之前,请更换服务器的硬盘或对它们进行映像处理。这将让您进行一些取证工作以查明发生了什么。
新服务器启动后,不用说,你需要确保全部将密码更改为长而复杂的密码,或者最好禁用密码验证并改用密钥验证。
答案2
运行netstat -anp | grep 22并记下右侧列出的 PID。然后,您可以lsof -p PID查看哪些进程正在运行 ssh 扫描。(您可能还希望将该输出重定向到文件,以记录入侵者的脚本正在运行的位置)首先终止这些进程,然后您必须开始寻找后门以及可能重新激活这些扫描进程的任何内容(通过 cron 或其他方式)。尝试使用常见的 rootkit 搜寻实用程序之一,例如chkroot工具或 rkhunter。
答案3
使用lsof或netstat查看系统上连接到该端口的内容。使用ps查找进程树以查看其来源。修补受影响的应用程序。
答案4
程序运行时,其行为对用户空间命令隐藏是完全有可能的。此外,攻击者可能安装了其他程序和后门。而您还没有发现您的机器最初是如何被入侵的。
也就是说,即使你找到了这种流量的来源,你的机器也不是干净的,也不能保证将来不会受到损害。
即使假设你只是有点腼腆,而且你是一个真正的计算机天才,可以追查到肇事者——那又怎么样?你认为你有可能引渡肇事者并让他们被定罪吗?
一定要将其视为一种学习练习 - 但除了一点知识之外,不要指望从中获得任何东西。
现在是时候开始思考如何清理系统并使其安全地恢复在线状态 - 以及如何防止/检测未来的攻击。