Как найти доказательства исходящего сетевого трафика в Linux

Question

Как найти доказательства исходящего сетевого трафика в Linux

Я установил стандартный сервер веб-приложений в AWS, используя битами Apache-Tomcat AMI. Экземпляр работает в общедоступной подсети с открытым исходящим трафиком, но разрешающим входящий трафик только через порт 22 (только с моего IP-адреса) и порты 80 и 443 от балансировщика нагрузки.

Недавно я столкнулся с огромным расходом данных, потому что экземпляр перенес (исходящий) более 14 ТБ за последние пару недель. Я выключил сервер 2 дня назад и просто запустил его и ищу журналы любого описания, которые могут показать мне, что происходит. (Основные отчеты AWS бесполезны). Я только что установил IPTraf, чтобы я мог, по крайней мере, отслеживать сетевой трафик (все тихо), а также настроить некоторые сигналы Cloud Watch, чтобы убедиться, что это не повторится.

Любые идеи, где я мог бы найти доказательства того, что стало причиной массовой передачи данных за границу и куда?

ура

1

linux apache-2.2 amazon-web-services tomcat bitnami

Источник

Pelly 07 янв '15 в 03:07

1 ответ

Решение

Другие вопросы по тегам linux apache-2.2 amazon-web-services tomcat bitnami

Pelly 08 янв '15 в 02:13 2015-01-08 02:13 · Accepted Answer · 2015-01-08 02:13

Ну, высокий всплеск исходящих данных снова повторился сегодня утром. Я использовал tshark (спасибо @tonioc), чтобы увидеть, что данные отправляются на несколько IP-адресов по всему миру и, в частности, в Китай..:-/ В любом случае я создавал некоторые дампы из tshark и сохранял их в папке / tmp и понял, что там был файл с именем fake.cfg. Я сразу подумал, что это подозрительно, поэтому провел некоторые исследования и обнаружил, что мой сервер был взломан с помощью уязвимостей в менеджере хоста, который поставляется с экземпляром tnamcat-apache bitnami, который я запускал. Скорее всего, пароль был предположительным, и они установили вредоносное приложение. В моей папке webapps также было приложение "hosts-manager", которого там не должно было быть, и в нем содержался файл index.jsp, содержащий целый ряд вредоносных скриптов.

В любом случае, я удалил все эти сценарии и полностью удалил доступ к host-manager и любым другим страницам bitnami из папки webapps, и теперь доступ к нему может иметь только мой webapp. Я также позаботился о том, чтобы все пароли по умолчанию были изменены, и в моих инстансах был запущен мониторинг пиков исходящих данных.

Некоторые статьи по вопросам:

http://www.coderanch.com/t/628222/Tomcat/fake-cfg-tmp-directory-lot https://stackoverflow.com/questions/20017515/aws-network-traffic-high-due-to-folder-29881-and-fake-cfg http://blog.rimuhosting.com/2013/08/09/old-tomcat-5-5-installs-being-exploited/

Я думаю, что сейчас у меня все хорошо.

ура