我们有一台运行 postfix 的 ubuntu-11.04 服务器,该服务器似乎正在参与对其他计算机的攻击。在服务器上观察到以下进程:
www-data 6465 28192 0 08:52 ? 00:00:00 /bin/bash ./su 62.150
www-data 6469 6465 0 08:52 ? 00:00:00 sleep 10
www-data 19614 1 63 Nov14 ? 08:48:26 klogd -x
www-data 28191 1 0 Nov13 ? 00:00:00 sh -c ./rand 2>&1 3>&1
www-data 28192 28191 0 Nov13 ? 00:00:17 /bin/bash ./rand
www-data 31401 1 0 Nov12 ? 00:00:00 sh -c ./rand 2>&1 3>&1
www-data 31402 31401 20 Nov12 ? 14:45:44 /bin/bash ./rand
此外,以下条目也出现在/var/log/auth.log
Nov 10 13:46:06 smtp2 su[21335]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost= user=root
Nov 10 13:46:07 smtp2 su[21335]: pam_authenticate: Authentication failure
Nov 10 13:46:07 smtp2 su[21335]: FAILED su for root by www-data
Nov 10 13:46:07 smtp2 su[21335]: - /dev/pts/0 www-data:root
Nov 10 13:46:08 smtp2 su[21336]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost= user=root
Nov 10 13:46:10 smtp2 su[21336]: pam_authenticate: Authentication failure
Nov 10 13:46:10 smtp2 su[21336]: FAILED su for root by www-data
Nov 10 13:46:10 smtp2 su[21336]: - /dev/pts/0 www-data:root
Nov 10 13:46:10 smtp2 su[21337]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost= user=root
Nov 10 13:46:13 smtp2 su[21337]: pam_authenticate: Authentication failure
Nov 10 13:46:13 smtp2 su[21337]: FAILED su for root by www-data
Nov 10 13:46:13 smtp2 su[21337]: - /dev/pts/0 www-data:root
Nov 10 13:46:13 smtp2 su[21338]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost= user=root
Nov 10 13:46:14 smtp2 su[21338]: pam_authenticate: Authentication failure
Nov 10 13:46:14 smtp2 su[21338]: FAILED su for root by www-data
在系统上查找名为 rand 的文件会显示以下内容:
find . -name rand -print
./tmp/rup/rand
/tmp具有以下内容:
drwxr-xr-x 2 www-data www-data 4096 2013-11-15 10:24 rup
-rw-r--r-- 1 www-data www-data 1080938 2013-11-13 13:51 rup.tgz
这是正常的吗?虽然唯一开放的端口是 pop3 和 smtp,但服务器似乎在某个时候已被感染。服务器是否会使用这些端口被感染?如果是,可以采取哪些措施来保护服务器免受进一步感染?
答案1
是的,任何存在漏洞的服务都有可能受到感染,无论是哪个端口或哪种服务。
就你的情况而言,Ubuntu 11.04 是否已于 2012 年 10 月 28 日达到使用寿命结束 (EOL)。除非你有良好的升级习惯,或者检测和修补漏洞,否则我强烈建议在生产环境中的服务器中坚持使用 Ubuntu LTS 版本。Ubuntu 12.04.3 LTS(长期支持)将是一个合理的选择,因为它将支持安全更新至 2017 年 4 月。
关于如何保护 Ubuntu 服务器安全的指南有很多,请在互联网上搜索并尝试筛选出最适合您的服务的指南。
如果你决定继续使用 Ubuntu 12.04 LTS,我建议你看看服务器指南。它还具有安全部分。 Fail2ban可能对你感兴趣。但也许最重要的是得到自动安全升级滾動。