Amazon EC2实例可能遭到破坏

我有一个EC2实例可能已经被入侵。 上个星期的实例响应速度太慢了,最近我已经检查了httpd的访问日志,他们超过了11Gig,尽pipe上个月才打开EC2实例。 今天的access_log正在增长。 日志文件充满了与我正在工作的网站无关的网站。

less数人有ssh访问,但我已经撤销它。 不过,日志文件还在增长。

最后从亚马逊收到一些关于“滥用”的电子邮件,发现邮件活动有所跳跃。 奇怪的是,我从来没有在这个实例上设置邮件服务,但是防火墙已经设置为允许smtp访问(除其他外),即使我只设置了端口80访问和一些端口22。

我不是一个真正的服务器人,我不知道。

我已经更改了我的亚马逊密码并创build了新的访问代码。 将ssh的端口更改为不同的端口。

我真的很感激在这个问题上的任何build议。 谢谢。

// ******** *编辑********* /

我现在认为这是我的服务器用作代理的结果。 根据这些准则http://wiki.apache.org/httpd/ProxyAbuse我已经设法阻止大量的虚假stream量去网站,虽然请求仍然堆积access_logs。 我已经通过尝试使用我的服务器作为代理进行了确认,并强制用户直接访问该网站 – 我想它应该 – 而不是说,yahoo.com。

我不知道这是否是解决scheme,但到目前为止似乎正在解决 – 迄今为止。
不过,贴出来的答案已经让我睁大了眼睛。 如果有人有更多的话,我很乐意听到。 非常感谢!

仔细查看您所服务的网页,查找垃圾链接等任何内容或利用已插入服务器的代码。 你最好的办法是将你的静态文件和备份进行比较,看看是否有任何改变。

如果不使用防火墙,请closures防火墙的端口25。

你可以使用像rkhunter这样的工具:

http://www.rootkit.nl/projects/rootkit_hunter.html

和chkrootkit:

http://www.chkrootkit.org/

尝试检测黑客使用的工具来维护对系统的控制。

使用像Nexpose这样的工具来查找您的Web应用程序和操作系统中的漏洞,并按照其修复这些漏洞的build议:

http://www.rapid7.com/vulnerability-scanner.jsp

可能有两种方法之一,服务器正在被滥用或被闯入。 首先通过软件漏洞攻击,然后通过Web应用程序路由。 我会首先检查软件漏洞,然后检查Web应用程序。

可能的问题。 没有特别的顺序

  1. 你有任何使用用户input发送电子邮件的邮件/表格,并且没有涉及authentication/授权。
  2. configuration错误或不安全的应用程序。 像phpMyadmin没有密码或在开发应用程序暴露在一个不安全的方式。
  3. 检查访问日志并获取已访问的文件列表。 如果他们是你的文件,我会检查他们的安全漏洞。
  4. 使用Web服务器上的当前文件检查您已知的好备份。 如果您没有使用任何安全的编码指南 ,那么远程Shell可能会有问题。

如果你没有在防火墙上使用邮件块smtp来遏制这种损害。

如果请求仍然存在,请更改弹性IP地址。 通常,公共代理被IP地址引用,这应该停止剩余的stream量。

当你得到它时,通过谷歌search来检查分配给你的IP地址是值得的。 我有一个被列为代理,所以刚刚得到另一个。