AWS EC2: как определить, был ли взломан мой EC2/ скалер AMI? Что нужно сделать, чтобы обеспечить его?
(См. Обновление ниже). Я получил уведомление от Amazon, что мой экземпляр попытался взломать другой сервер. не было никакой дополнительной информации, кроме лог-дампа:
Оригинальный отчет:
- IP-адреса назначения:
- Порты назначения:
- Целевые URL:
- Время злоупотребления: вс 16 мая 10:13:00 UTC 2010
- NTP: N
- Извлечение журнала:
Внешние 184.xxx.yyy.zzz, 11.842.000 пакетов /300 с (39.473 пакетов / с), 5 потоков /300 с (0 потоков / с), 0,320 ГБ /300 с (8 Мбит / с)
(184.xxx.yyy.zzz - мой экземпляр ip)
Как я могу узнать, проник ли кто-то в мой экземпляр? Какие шаги я должен предпринять, чтобы мой экземпляр был чистым и безопасным для использования? Могу ли я использовать какой-нибудь метод обнаружения вторжений или журнал?
Любая информация высоко ценится.
ОБНОВЛЕНИЕ: я получил дальнейшие файлы журнала от Амазонки. Кажется, наш сервер сканирует последовательные IP-адреса для порта 22. Я безуспешно запустил rkhunter и chkrootkit. Что я могу сделать?
2 ответа
Вы можете искать признаки вторжения с помощью chkrootkit, но вы должны установить надежные двоичные файлы для использования с ним, или ваши результаты подозрительны. Если вы еще этого не сделали, вы должны постоянно исправлять его; Я бы предложил обновления cron по крайней мере ежедневно. Существует множество пакетов обнаружения вторжений (HIDS) на уровне хоста, и вам необходимо исследовать их, чтобы определить, что соответствует вашим потребностям.
И последнее, на что стоит обратить внимание, откуда вы взяли AMI? Мне всегда было интересно, кто использует некоторые из, казалось бы, безобидных случаев наверху... что вы действительно понятия не имеете, откуда они берутся. Они могут быть легко изменены оригинальным загрузчиком. Просто пища для размышлений.
Я только что установил AMI из Scalr и обнаружил, что процесс взлома пытается просканировать phpmyadmin на других серверах. Это страшно.