如何检查我的根服务器是否被入侵
我的提供商给我发了一封电子邮件,指出我的根服务器似乎被误用于攻击其他系统。
我如何检查这是否属实,我的系统是否受到危害?
有人告诉我,我有4天的时间来解决这个问题,所有提供给我的信息都是从我的提供商那里得到的日志。
服务器运行Debian Squeeze并始终保持最新状态。 很less用户只能通过jailkit访问ssh,所以他们没有太多的工作。 Web服务器apache2通过suexec和FastCGI运行,所以如果一个站点受到攻击,另一个站点仍然是安全的。 有趣的是,知识产权的报告是85.214.249。***是我第二个IP,我只在一周前收到和激活。
- 什么是BFD的最佳select? 阻止DDoS和蛮力攻击的东西?
- 是否可以阻止SSH SOCKS用户的特定出站主机名?
- 如何更改inf文件以将策略添加到Windows Vista / 7上的本地安全策略
- 更新重新启动时禁用服务器login
- 通过DMZ服务器安全执行存储过程
rkhunter每天在我的服务器上运行,我只是做了一个全面的检查,然后是一个clamscan。 没有结果。 我比较了我自己的系统日志条目提供的日志条目,但没有。 我所拥有的大量stream量是apf-firewall阻止的,因为它不是合法的stream量。 我找不到任何这些dreamhost服务器,也没有任何我的日志中的任何IP。
| Attacker's IP | Timestamp (Pacific Time) | Targeted Server | Attack ID | Attack Information | ------------------------------------------------------------------------------------------------------- | 85.214.249.*** | 2012-04-16 11:15:01 | johnson.dreamhost.com | 28775675 | e107 BBCode Arbitrary PHP Code Execution Vulnerability | | 85.214.249.*** | 2012-04-16 11:12:55 | unuk.dreamhost.com | 28802766 | e107 BBCode Arbitrary PHP Code Execution Vulnerability | | 85.214.249.*** | 2012-04-16 10:50:29 | nationals.dreamhost.com | 28784913 | e107 BBCode Arbitrary PHP Code Execution Vulnerability | | 85.214.249.*** | 2012-04-16 11:03:23 | lakers.dreamhost.com | 28776910 | e107 BBCode Arbitrary PHP Code Execution Vulnerability | | 85.214.249.*** | 2012-04-16 11:02:27 | univox.dreamhost.com | 28803414 | e107 BBCode Arbitrary PHP Code Execution Vulnerability | 首先,如果你的系统受到威胁,你不能相信你的日志。 Rootkit可以让你认为一切正常。 检测服务器是否存在非法stream量的唯一方法是,一旦它离开您的机器,就可以嗅探它(这可以通过交换机上的中继器端口来完成)。
不幸的是,这可能意味着:
tcpdump从所涉及的IP到达目的端口80和443的所有输出stream量。在大多数系统上通常不会有太多这样的stream量。 如果系统仍然在积极地攻击他人,你可能会看到很多传出的数据包到不同的主机。
如果你看不到交通,你可以肯定目前它不是攻击,但是从这个结论来看,没有妥协是一个很长的路要走。 也许唯一可以肯定的是find攻击stream量的来源。
既然你提到你最近才得到IP,有没有可能你的ISP还有两台带有这个IP的机器? – 以前的所有者可以静态configuration它。 也许你在你的系统上禁用了这个IP(因为你有两个IP,这不是一个问题 – configuration一个静态和可靠的IP),然后尝试ping禁用的IP。 (虽然我不是100%肯定的,但我在这里说的很正常 – 在这个话题上没有什么经验。)