您的 Amazon EC2 滥用报告

Your Amazon EC2 Abuse Report

I created amazon ec2 instance to run Tomcat application, but Amazon abuse team sent mail with the following log

<<<
AWS Account: ********
Report begin time: 14-12-2017 02:02:28 UTC
Report end time: 14-12-2017 02:03:28 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 294167550
Total packets sent: 291255
Total bytes received: 0
Total packets received: 0

AWS Account: ********
Report begin time: 14-12-2017 02:03:15 UTC
Report end time: 14-12-2017 02:04:15 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 1050081850
Total packets sent: 1039685
Total bytes received: 0
Total packets received: 0

是应用程序问题还是我遗漏了一些安全配置?

我们在 /tmp 中发现了一个未知的可执行应用程序,如下所示,将其杀死后几秒钟后再次出现。似乎它产生了未知流量,所以我们现在继续并关闭服务器。

[root@ip-172-19-24-90 tmp]# file Lixsyn
Lixsyn: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
[root@ip-172-19-24-90 tmp]#

raw   104832 426240 0.0.0.0:6                   0.0.0.0:*                   7           19719/Lixsyn
raw   104832 228096 0.0.0.0:6                   0.0.0.0:*                   7           19719/Lixsyn


root@ip-172-31-40-123 tmp]# ifconfig
eth0      Link encap:Ethernet  HWaddr ********
          inet addr:******** Bcast:172.31.47.255  Mask:255.255.240.0
          inet6 addr: ********/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:9001  Metric:1
          RX packets:1136962 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2081358186 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:860855089 (820.9 MiB)  TX bytes:2130697820190 (1.9 TiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:11338 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11338 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:21689998 (20.6 MiB)  TX bytes:21689998 (20.6 MiB)

当 ec2 实例向您账户外的服务器触发未知流量时,AWS 会发送滥用报告。

这可能是由于一些未知的应用程序由于公开打开 ssh/rdp 端口而进入您的 ec2 实例。

您在这里可以做的是

  1. 配置您的 ec2 实例的安全组以允许使用源 ip 作为您自己的 ssh 访问(端口 22)homr/office 仅 ip
  2. 执行 netstat 命令以查找正在访问滥用报告中提到的远程 IP 和端口号的所有进程 ID
  3. 获得进程 ID 后,使用 ps -ef 命令查找与其关联的所有进程并删除所有相关路径
  4. 更改所有用户凭据并禁用无密码 ssh 登录。

关于防止 ec2 上的 tomcat 服务器受到攻击的第二个问题的答案。

  1. 避免在默认情况下公开 tomcat 管理器应用程序 url/path
  2. 在server.xml中使用"name"属性以避免暴露。 容器名称和版本通过 http headers
  3. 最好将 tomcat 置于网络 layer/proxy 之后,例如 nginx/haproxy 以限制暴力攻击的影响
  4. 为 tomcat 用户使用非常强的密码。

对于那些没有团队阅读所有详细信息的 AWS 新手,这里有一个提醒:从您的 EC2 传输到互联网的所有数据都将在第一个免费 1 GB 之后收费.

Data Transfer OUT From Amazon EC2 To Internet

First 1 GB / month [=10=].00 per GB

Up to 10 TB / month [=10=].09 per GB

Next 40 TB / month [=10=].085 per GB

由于 EC2 不打算用作 Web 托管服务,因此当有大量数据从 EC2 下载到互联网时,AWS 开始向管理员发送滥用电子邮件是及时的。

您应该检查这是否是您的 Tomcat 网络应用程序的预期流量使用。

  1. 如果您没有预料到交通情况,例如没有人从互联网外部连接到它,检查网站是否可能受到威胁,例如检查您的安全规则,建立连接以仅信任特定的 IP 范围,而不是互联网上的每个人。

  2. 如果您预计交通情况,例如有多个用户连接到您的应用程序并产生大量流量,请重新考虑您的带宽需求并开始考虑使用 CDN(内容分发网络)来减轻所需的负载。因为 EC2 互联网传出流量并不便宜,因为它不适合内容密集型下载。
    请记住,如果您不将此流量转移到 CDN,DDoS 将导致 AWS 向您发送大量流量账单。

(更新) 正如上面@Abhijit Jagtap 所指出的,您的服务器可能已被入侵。也许在您打开服务器到 Internet 的那一刻。僵尸网络可以轻松扫描可能的 Web 服务版本并执行攻击。很可能您的 Web 服务(Tomcat、jre/jdk、Web 服务器等)版本包含一些漏洞。 您应该重新创建实例,执行所有加固测量。请不要打扰 "clean up" ,那只是浪费时间。如果您想稍后进行取证,可以为受损的 EC2 实例创建快照。

"Lixsyn" 看起来像 linux 后门病毒。与应用无关Linux.BackDoor.Gates

杀毒公司 Symantec 的研究员 Takashi Katsuki 发现了一种新的网络攻击正在野外进行,目标是基于跨平台 Java 的开源 Web 服务器应用程序服务器 Apache Tomcat可用于攻击其他机器的后门。

被称为 "Java.Tomdep" 的恶意软件与其他服务器恶意软件不同,它不是用 PHP 脚本语言编写的。它基本上是一个基于 Java 的后门,充当 Java Servlet,为 Apache Tomcat 平台提供恶意功能。

因为Java是一门跨平台语言,受影响的平台包括Linux、Mac OS X、Solaris,以及[=36=最受支持的版本].该恶意软件是在不到一个月前检测到的,到目前为止,受感染的机器数量似乎很少。

You may think that this type of attack only targets personal computers, such as desktops and laptops, but unfortunately that isn’t true. Servers can also be attacked. They are quite valuable targets, since they are usually high-performance computers and run 24x7.

Java 蠕虫寻找安装了 Apache Tomcat-运行 的系统,然后尝试使用用户名和密码。

安装后,恶意软件 servlet 的行为类似于 IRC Bot,能够接收来自攻击者的命令。恶意软件能够从系统发送下载文件,创建新进程,更新自身,可以设置 SOCKS 代理,UDP 泛洪,即可以执行大规模 DDoS 攻击。 他们提到命令和控制服务器已被追踪到台湾和卢森堡。我n 为了避免这种威胁,请确保您的服务器和 AV 产品已完全修补和更新。

请提出您的建议....