web-dev-qa-db-ja.com

サーバーからの送信要求を追跡するための最良の方法

数十のWebサイトをホストするnginx1.4.6を備えたUbuntu14.04.1 LTSサーバーがあり、次のような何百ものリクエストの別のサーバーから悪用の苦情を受けました:「POST/wp-login.phpHTTP /1.0」サーバ。このトラフィックがどこから来ているのかを知るために、どうすれば問題を分析できますか?私はtcpdumpの出力を読み込もうとしていますが、あまり経験がなく、どのパラメーターを指定するか、または探しているものを見つけることができるように出力を読み取る方法がわかりません。効率的な方法。問題の原因を追跡できるかどうかを確認するには、どのツールをどのような順序で使用する必要がありますか?

1
Craig

簡単な第1レベルのアプローチは、lsof -i @remotehostname(またはリモートIPアドレス)を使用して、どのユーザーとプロセスがリモートホストへの接続を開始しているかを確認することです。

tcpdump出力の解釈に関しては、キャプチャされたTCPストリームの解釈に役立つ Wireshark のようなものを使用する方がはるかに簡単です。これも役立ちます。キャプチャをより具体的にするために、tcpdumpで使用する構文を生成します。

1
HBruijn

情報が不足しているので、私は以下を推測するつもりです。

  • あなたのシステムはウェブサイトをホストします
  • webサイトは脆弱であり、おそらくかなりの数の既知の脆弱性を持ついくつかの古いバージョンです。
  • ホストされているWebサイトは、1人以上の攻撃者によって自動的に列挙され、悪用された可能性があります。
  • 攻撃者はファイルシステムとおそらくデータベースにもバックドアを残しました
  • 攻撃者は必ずしもルートアクセスを取得する必要はありませんでした(新しいカーネルを使用すると、アクセスする可能性が低くなります)
  • 脆弱性とバックドアを使用する攻撃者は、他のターゲットを攻撃している間、システムを積極的に使用して自分自身を匿名化します(あなたが確認したレポートによる)

それについてどうしますか?

  • Webサイトを最新の状態に保ち、言うのは簡単ですが、これは重要です

  • 区画化して、Webサイトを互いに可能な限り分離する必要があります(phpの実行は、誰もwwwデータではなく、一意のユーザーとして実行します。そうすることで、1つのサイトが侵害されても、すべてのサイトが簡単に侵害されることはありません。怠惰な攻撃者があなたに頭痛を与えているとき)

  • システムを頻繁にスキャンして監査します。 Maldet を使用して、疑わしいファイルを検索できます。バックドアの侵入者が残した可能性があります。これは完全なクリーンアップスイートではありません。いくつかのものが見つかりますが、署名ベースであり、バックドアに変異があると、このようなスキャナーでバックドアが気付かれなくなる可能性があります。

  • 検索し破壊します;相互に関連する;つまり、あなたが持っているもので検索し、調査結果をメモし、アクセスログを調べて、見つけたものへのアクセスについて言及してから、それらの不良ファイルにアクセスしていたIPをメモします。次に、それらのIPがサーバー上でアクセスした他のファイルを確認します。これにより、署名が一致しなかったバックドアがさらにいくつか明らかになる可能性があります。

  • 攻撃対象領域を減らすようにしてください。管理領域は機能が豊富なコンポーネントであり、これは多くのバグにつながります。管理領域へのアクセスを少数のIPのみに制限する場合。または、基本認証などのレイヤーを追加すると、ホストされているサイトが所有されるのを防ぐのに役立ちます。

  • 目を開いたまま、このリストをループし、防御機能を向上させるためにこのリストに追加する新しい方法を見つけてください。

1
Hrvoje Špoljar