Melhor maneira de rastrear solicitações de saída de um servidor

1

Temos um servidor LTS Ubuntu 14.04.1 com nginx 1.4.6 que hospeda algumas dezenas de sites e recebeu uma reclamação de abuso de outro servidor de centenas de solicitações como esta: "POST /wp-login.php HTTP / 1.0" vindo do nosso servidor. Como posso dissecar o problema para descobrir de onde vem esse tráfego? Eu tenho tentado ler a saída do tcpdump, mas eu não tenho muita experiência com ela e não sei quais parâmetros dar a ela ou como ler a saída de forma que eu possa encontrar o que estou procurando uma maneira eficiente. Quais ferramentas devo usar e em que ordem ver se consigo rastrear a origem do problema?

    
por Craig 11.11.2014 / 21:33

2 respostas

1

Uma abordagem simples de primeiro nível é usar lsof -i @remotehostname (ou o endereço IP remoto) para ver qual usuário e processo estão iniciando as conexões com o host remoto.

Com relação à interpretação de tcpdump output, ainda acho muito mais fácil usar algo como Wireshark para ajudar a interpretar um TCP capturado corrente. Também ajuda a gerar a sintaxe a ser usada no tcpdump para tornar suas capturas mais específicas.

    
por 11.11.2014 / 21:58
1

Devido à falta de informações, vou adivinhar o seguinte.

  • seu sistema hospeda sites da web
  • sites da Web são vulneráveis, provavelmente algumas versões mais antigas com algumas vulnerabilidades conhecidas
  • os sites hospedados provavelmente foram enumerados e explorados automaticamente por um ou mais invasores
  • invasores deixaram backdoors no sistema de arquivos e possivelmente no banco de dados
  • os invasores não obtiveram necessariamente acesso root (o kernel mais recente é menos provável)
  • usando vulnerabilidades e invasores de backdoors estão ativamente usando seu sistema para anonimizar seu self enquanto atacam outros destinos (conforme o relatório que você recebeu confirma)

O que fazer sobre isso?

  • Mantenha os sites hospedados atualizados, mais fáceis de falar do que fazer, mas isso é importante

  • Compartimentalize, seus sites devem ser isolados o máximo possível uns dos outros (execução php não como ninguém ou www-data, mas sim como usuários únicos, ao fazer isso o comprometimento de um site não levará a um comprometimento de todos os sites são fáceis, especialmente quando os invasores preguiçosos estão lhe dando dores de cabeça)

  • Analise e faça a auditoria do seu sistema com frequência, você pode usar o Maldet para pesquisar suspeitos arquivos, intrusos backdoors podem ter sobrado. Este não é um completo conjunto de limpeza, ele encontrará algumas coisas, mas ele é baseado em assinatura e qualquer mutação no backdoor pode facilmente fazer o backdoor passar despercebido por scanners como esses.

  • pesquise e destrua; correlacionar; e com isso quero dizer, pesquise com o que você tem, faça anotações sobre as descobertas, examine os registros de acesso para menções de acesso ao que você encontrou, então observe os IPs que estavam acessando esses arquivos ruins; em seguida, verifique quais outros arquivos possivelmente esses IPs acessam em seu servidor. Isso provavelmente revelará mais algumas backdoors que as assinaturas não correspondem.

  • Tente reduzir a superfície de ataque. Áreas de administração são componentes ricos em recursos e isso se traduz em muitos bugs. Se você restringir o acesso a áreas de administração a apenas alguns IPs; ou adicione uma camada adicional como a autenticação básica que ajudará a proteger seus sites hospedados da propriedade.

  • Mantenha seus olhos abertos, faça um loop sobre essa lista, encontre novos métodos para adicionar a essa lista para melhorar seus recursos de defesa.

por 12.11.2014 / 23:46