我的ISP与我联系,指出未经授权的攻击来自我的LAMP服务器。 以下是他们所附的日志的一部分:
15:26:16.821245 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1 15:26:16.821248 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1 15:26:16.821251 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1 15:26:16.821253 IP My.Ip.is.here.59987 > some.one.elses.ip.ssh: UDP, length 1 我该如何调查?
首先,closures或断开您的服务器从networking。 这将阻止任何仍在进行中的攻击。 这很可能是您的服务器受到威胁。 你需要做一个完整的重新安装和从一个已知的好备份恢复。 是的,这是一个痛苦,但它是确保您恢复“干净”文件的唯一的万无一失的方法。 在这之前,要么换掉服务器的硬盘驱动器,要么拍下它们的图像。 这将让你做一些法医工作,找出发生了什么。
一旦新的服务器启动,不言而喻,你将需要确保所有的密码更改为长和复杂或最好的,只是禁用密码身份validation,并使用密钥身份validation。
运行一个netstat -anp | grep 22 netstat -anp | grep 22并记下右边列出的PID。 然后您可以使用lsof -p PID来查看哪些进程正在运行ssh扫描。 (您可能还想将输出redirect到文件以logging入侵者的脚本运行的位置)杀死这些进程以启动,但是您必须开始查找后门以及任何可能重新激活这些扫描进程的任务通过cron或其他)。 尝试使用chkrootkit或rkhunter等常用rootkit狩猎工具。
使用lsof或netstat查看系统上连接到该端口的内容。 使用ps来查找进程树来查看它来自哪里。 修补受影响的应用程序。
程序在用户空间命令隐藏行为的时候很可能运行。 而且攻击者可能已经安装了额外的程序和后门程序。 而且你还没有发现你的机器最初是如何被破坏的。
即使你发现这个stream量的来源,你的机器也不干净,也不能保证未来的妥协。
甚至假设你只是有点co and,是一个真正的电脑天才谁可以追查责任人 – 那又怎么样? 你是否认为你可能会引渡那些负责任的人并使他们被定罪。
通过一切手段把它当作学习练习 – 但不要期望从这些知识中获得任何东西。
开始思考如何清理系统并安全地恢复在线 – 以及如何防止/检测未来的攻击。