AWS EC2:如何确定我的EC2 / scalr AMI是否被黑客入侵? 如何保护它?

(请参阅下面的更新)我收到亚马逊的通知,我的实例试图破解另一台服务器。 除了日志转储之外,没有附加信息:

原始报告:

  • 目标IP:
  • 目标端口:
  • 目标url:
  • 滥用时间:2010年5月16日10:13:00 UTC
  • NTP:N
  • 日志摘录:

外部184.xxx.yyy.zzz,11.842.000包/ 300s(39.473包/ s),5个stream量/ 300s(0个stream量/ s),0,320 GByte / 300s(8MBit / s)

(184.xxx.yyy.zzz是我的实例ip)

我怎么知道是否有人渗透我的实例? 我应该采取哪些措施来确保我的实例清洁且安全? 有一些入侵检测技术或日志可以使用吗?

任何信息是高度赞赏。

更新:我收到来自亚马逊进一步的日志文件。 似乎我们的服务器正在扫描端口22的连续IP地址。我运行rkhunter和chkrootkit没有成功。 我能做什么?

您可以查找chkrootkit入侵的迹象,但是您应该安装受信任的二进制文件来使用它,否则您的结果是可疑的。 如果你还没有,你应该确保你不断补丁; 我build议cron更新至less每天。 有许多基于主机的入侵检测(HIDS)软件包,您需要研究它们以确定哪些适合您的需求。

最后要考虑的是,你从哪里得到你的AMI? 我一直在想,谁在使用一些看似无害的实例呢?你真的不知道它们来自哪里。 这些很容易被原始上传者篡改。 只是一些思想的食物。

我刚刚从Scalr安装了一个AMI,并发现一个试图扫描其他服务器的phpmyadmin的黑客程序。 太可怕了。