(请参阅下面的更新)我收到亚马逊的通知,我的实例试图破解另一台服务器。 除了日志转储之外,没有附加信息:
原始报告:
外部184.xxx.yyy.zzz,11.842.000包/ 300s(39.473包/ s),5个stream量/ 300s(0个stream量/ s),0,320 GByte / 300s(8MBit / s)
(184.xxx.yyy.zzz是我的实例ip)
我怎么知道是否有人渗透我的实例? 我应该采取哪些措施来确保我的实例清洁且安全? 有一些入侵检测技术或日志可以使用吗?
任何信息是高度赞赏。
更新:我收到来自亚马逊进一步的日志文件。 似乎我们的服务器正在扫描端口22的连续IP地址。我运行rkhunter和chkrootkit没有成功。 我能做什么?
您可以查找chkrootkit入侵的迹象,但是您应该安装受信任的二进制文件来使用它,否则您的结果是可疑的。 如果你还没有,你应该确保你不断补丁; 我build议cron更新至less每天。 有许多基于主机的入侵检测(HIDS)软件包,您需要研究它们以确定哪些适合您的需求。
最后要考虑的是,你从哪里得到你的AMI? 我一直在想,谁在使用一些看似无害的实例呢?你真的不知道它们来自哪里。 这些很容易被原始上传者篡改。 只是一些思想的食物。
我刚刚从Scalr安装了一个AMI,并发现一个试图扫描其他服务器的phpmyadmin的黑客程序。 太可怕了。