servidor ubuntu participando de ataques de ddos

Question

servidor ubuntu participando de ataques de ddos

#1 resposta do Anders F. U. Kiær (2 votos)

1

Temos um servidor ubuntu-11.04 executando o postfix que parece estar participando de um ataque em outros computadores. Os seguintes processos foram observados no servidor:

www-data  6465 28192  0 08:52 ?        00:00:00 /bin/bash ./su 62.150
www-data  6469  6465  0 08:52 ?        00:00:00 sleep 10
www-data 19614     1 63 Nov14 ?        08:48:26 klogd -x
www-data 28191     1  0 Nov13 ?        00:00:00 sh -c ./rand 2>&1 3>&1
www-data 28192 28191  0 Nov13 ?        00:00:17 /bin/bash ./rand
www-data 31401     1  0 Nov12 ?        00:00:00 sh -c ./rand 2>&1 3>&1
www-data 31402 31401 20 Nov12 ?        14:45:44 /bin/bash ./rand

Além disso, as entradas a seguir estavam no /var/log/auth.log

Nov 10 13:46:06 smtp2 su[21335]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:07 smtp2 su[21335]: pam_authenticate: Authentication failure
Nov 10 13:46:07 smtp2 su[21335]: FAILED su for root by www-data
Nov 10 13:46:07 smtp2 su[21335]: - /dev/pts/0 www-data:root
Nov 10 13:46:08 smtp2 su[21336]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:10 smtp2 su[21336]: pam_authenticate: Authentication failure
Nov 10 13:46:10 smtp2 su[21336]: FAILED su for root by www-data
Nov 10 13:46:10 smtp2 su[21336]: - /dev/pts/0 www-data:root
Nov 10 13:46:10 smtp2 su[21337]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:13 smtp2 su[21337]: pam_authenticate: Authentication failure
Nov 10 13:46:13 smtp2 su[21337]: FAILED su for root by www-data
Nov 10 13:46:13 smtp2 su[21337]: - /dev/pts/0 www-data:root
Nov 10 13:46:13 smtp2 su[21338]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:14 smtp2 su[21338]: pam_authenticate: Authentication failure
Nov 10 13:46:14 smtp2 su[21338]: FAILED su for root by www-data

Fazer uma descoberta no sistema para arquivos denominados rand revela o seguinte:

find . -name rand -print
./tmp/rup/rand

/tmp tem o seguinte:

drwxr-xr-x 2 www-data www-data    4096 2013-11-15 10:24 rup
-rw-r--r-- 1 www-data www-data 1080938 2013-11-13 13:51 rup.tgz

Isso é normal? Parece que o servidor foi infectado em algum momento, embora as únicas portas abertas sejam pop3 e smtp. O servidor pode ser infectado usando essas portas? Se sim, o que pode ser feito para proteger o servidor de novas infecções?

por archana 15.11.2013 / 17:57

1 resposta

ComboBoxText no Glade / GTK + 3 / Python - desaparece quando exibido 2ª vez Como ativar o menu global para um aplicativo específico?

score 2 · Answer 1

Sim, é possível se infectar de qualquer serviço que tenha vulnerabilidades, independentemente de qual porta ou serviço é.

No seu caso, o Ubuntu 11.04 atingiu o final da vida (EOL) 28 de outubro de 2012. A menos que você tenha boas rotinas para atualizar ou detectar e corrigir vulnerabilidades, eu recomendo strongmente manter as versões do Ubuntu LTS para servidores em ambiente de produção. . O Ubuntu 12.04.3 LTS (suporte de longo prazo) seria uma escolha razoável, pois será suportado com atualizações de segurança para abril de 2017.

Existem muitos guias sobre Como proteger servidores Ubuntu, pesquisar na internet e tentar filtrar o que seria melhor para seus serviços.

Se você decidir ficar com o Ubuntu 12.04 LTS, sugiro dar uma olhada no guia do servidor. Ele também tem uma parte de segurança. Fail2ban pode ser do seu interesse. Mas talvez seja mais importante obter as atualizações de segurança automatizadas em andamento.