सवाल ubuntu सर्वर ddos ​​हमलों में भाग ले रहा है


हमारे पास एक उबंटू -11.04 सर्वर है जो पोस्टफिक्स चला रहा है जो अन्य कंप्यूटरों पर हमले में भाग ले रहा है। सर्वर पर निम्नलिखित प्रक्रियाएं देखी गईं:

www-data  6465 28192  0 08:52 ?        00:00:00 /bin/bash ./su 62.150
www-data  6469  6465  0 08:52 ?        00:00:00 sleep 10
www-data 19614     1 63 Nov14 ?        08:48:26 klogd -x
www-data 28191     1  0 Nov13 ?        00:00:00 sh -c ./rand 2>&1 3>&1
www-data 28192 28191  0 Nov13 ?        00:00:17 /bin/bash ./rand
www-data 31401     1  0 Nov12 ?        00:00:00 sh -c ./rand 2>&1 3>&1
www-data 31402 31401 20 Nov12 ?        14:45:44 /bin/bash ./rand

इसके अलावा, निम्नलिखित प्रविष्टियां थीं /var/log/auth.log

Nov 10 13:46:06 smtp2 su[21335]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:07 smtp2 su[21335]: pam_authenticate: Authentication failure
Nov 10 13:46:07 smtp2 su[21335]: FAILED su for root by www-data
Nov 10 13:46:07 smtp2 su[21335]: - /dev/pts/0 www-data:root
Nov 10 13:46:08 smtp2 su[21336]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:10 smtp2 su[21336]: pam_authenticate: Authentication failure
Nov 10 13:46:10 smtp2 su[21336]: FAILED su for root by www-data
Nov 10 13:46:10 smtp2 su[21336]: - /dev/pts/0 www-data:root
Nov 10 13:46:10 smtp2 su[21337]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:13 smtp2 su[21337]: pam_authenticate: Authentication failure
Nov 10 13:46:13 smtp2 su[21337]: FAILED su for root by www-data
Nov 10 13:46:13 smtp2 su[21337]: - /dev/pts/0 www-data:root
Nov 10 13:46:13 smtp2 su[21338]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:14 smtp2 su[21338]: pam_authenticate: Authentication failure
Nov 10 13:46:14 smtp2 su[21338]: FAILED su for root by www-data

रैंड नाम की फाइलों के लिए सिस्टम पर एक खोज करने से निम्नलिखित पता चलता है:

find . -name rand -print
./tmp/rup/rand

/tmp निम्नलिखित है:

drwxr-xr-x 2 www-data www-data    4096 2013-11-15 10:24 rup
-rw-r--r-- 1 www-data www-data 1080938 2013-11-13 13:51 rup.tgz

क्या यह सामान्य है? ऐसा लगता है कि सर्वर किसी बिंदु पर संक्रमित हो गया है, भले ही केवल खुले बंदरगाह पॉप 3 और smtp हैं। क्या इन बंदरगाहों का उपयोग कर सर्वर संक्रमित हो सकता है? यदि हां, सर्वर को और संक्रमण से सुरक्षित करने के लिए क्या किया जा सकता है?


1
2017-11-15 16:57


मूल


क्या आप का उत्पादन जोड़ सकते हैं w ? क्या आप एक ही बॉक्स पर अपाचे वेब सर्वर भी चला रहे हैं? - Anders F. U. Kiær
कुछ ऐसा लगता है जो किसी ने आपके साथ समझौता करने में कामयाब रहे www-data उपयोगकर्ता खाता और विशेषाधिकार वृद्धि करने का प्रयास करें। cat /etc/passwd | grep www-data अगर परिणाम किसी और चीज़ से शुरू हो रहा है www-data:x: क्या आपने अजीब फाइलों के लिए / var / www / * की जांच की है? - Anders F. U. Kiær
इसमें कोई संदेह नहीं है, आपका सर्वर समझौता करता है। आप भी आउटपुट जोड़ने के लिए स्वतंत्र महसूस कर सकते हैं lastlog। - Anders F. U. Kiær
डब्ल्यू का उत्पादन इस समय ज्यादा गतिविधि नहीं दिखाता है। डब्ल्यू 12:32:48 6 दिन, 21:26, 1 उपयोगकर्ता, औसत भार: 3.38, 3.21, 3.10 - archana
/ Var / www में कोई अजीब फ़ाइलें प्रतीत नहीं होती हैं। हमने जानबूझकर अपाचे वेब सर्वर स्थापित नहीं किया था, लेकिन यह इंस्टॉल का हिस्सा हो सकता है। Passwd फ़ाइल इस प्रविष्टि को दिखाती है: www-data: x: 33: 33: www-data: / var / www: / bin / sh मैं गलत था कि कौन से बंदरगाह खुले हैं। टीसीपी के लिए निम्नलिखित खुले हैं: www, pop3, डोमेन, imap4, 587, https, smtp। डोमेन udp के लिए खुला है। ईमेल भेजने और प्राप्त करने के लिए कौन से बंदरगाह खुले रहेंगे? - archana


जवाब:


हां, किसी भी सेवा से संक्रमित होना संभव है जिसमें भेद्यता है या नहीं, चाहे वह बंदरगाह या कौन सी सेवा है।

आपके मामले में उबंटू 11.04 हिट एंड लाइफ (ईओएल) 28 अक्टूबर, 2012. जब तक आप कमजोरियों को अपग्रेड करने, पहचानने और पैच करने के लिए अच्छी दिनचर्या नहीं रखते हैं, तो मैं उत्पादन वातावरण में सर्वरों के लिए उबंटू एलटीएस रिलीज के साथ चिपकने की दृढ़ता से अनुशंसा करता हूं। उबंटू 12.04.3 एलटीएस (दीर्घकालिक समर्थन) एक उचित पिक होगा क्योंकि इसे अप्रैल 2017 को सुरक्षा अद्यतनों के साथ समर्थित किया जाएगा।

यह उबंटू सर्वर को सुरक्षित करने, इंटरनेट पर खोजने और अपनी सेवाओं के लिए सबसे अच्छा क्या फ़िल्टर करने का प्रयास करने के बारे में बहुत सारे मार्गदर्शिका मौजूद है।

यदि आप उबंटू 12.04 एलटीएस के साथ रहना तय करते हैं, तो क्या मैं इस पर एक नज़र डालने का सुझाव दूंगा सर्वर गाइड इसमें एक भी है सुरक्षा हिस्सा  fail2ban आपकी रुचि का हो सकता है। लेकिन शायद सबसे महत्वपूर्ण है स्वचालित सुरक्षा उन्नयन रोलिंग।


2
2017-11-15 19:49