我们的 Centos 服务器感染了一些恶意软件。它正在调用随机 IP/域。如何阻止服务器发出外部请求?
Our Centos server is infected with some malware. It is making calls to random IP's/ Domains. How to stop the server from making external requests?
我们有一个 CentOS[release 6.8 (Final)] 服务器,带有 Drupal 7.51 和 php 5.3.3 以及 apache。
当我们访问服务器上的某些页面时,服务器会调用随机 IP 地址。我们使用 tcpdump 命令跟踪了这个问题。这是输出:
在图中,IP 45.250.47.93 来自我们的网络,而 cpe-24-194-158-202.nycap.res.rr.com & 52.128.135.13 不属于我们。这些 IP 地址随着每个请求不断变化。
我们应该如何保护我们的服务器不向随机 IP 地址发出这些请求?
更多背景:
昨晚,我们的一些网站页面开始自动重定向到广告服务器。在调查中,我们意识到在我们的服务器上创建了一些 php 文件并添加了一个 crontab。我们删除了所有非我们创建的 php 文件,并禁用了 cron。从那时起,重定向到广告服务器的过程就停止了,但一些页面正在向随机 IP 地址发送请求。
您一定要尽快隔离该服务器,以免它造成更多损害。尝试在线修复它不是一种选择恕我直言,因为除非您完全了解他们是如何进入的(难度取决于)以及所做的事情(最困难的部分,即使对于专家来说也是如此),否则您永远无法确定是否已将其完全清理干净。
正确的做法是 stop/isolate 该服务器,确定黑客攻击的来源(例如,他们是如何进入的),修复它并重新安装一个干净且修复(或至少缓解)的实例一个新的服务器(被黑的服务器至少应该在重新使用之前格式化,或者甚至刷新 bios 以防黑客很复杂)。
调查可能会很长,确实应该离线进行。如果它是一个 VM,你可以创建一个快照,执行它,然后离线使用它进行取证分析。否则,您可能可以在救援模式下访问 FS 并将其全部复制。
似乎无法停止您的服务,但请相信我,您宁愿停机也不愿成为恶意软件更多传播的源头。
因为涉及到Drupal和php,所以很可能是入口点。与可信来源进行全面比较,您可能会找到 new/altered 个文件并了解泄漏。
我同意fab2s所说的一切。
向我发送请求的随机页面就像在该页面上修改了一段代码以发送该请求。可以是从某种 shell 到某种用户数据提取调用的任何东西。
您的应用程序与您的版本控制上的生产副本的差异可能会显示一些线索。
检查您的应用程序可能拥有的任何日志记录可能会发现一些问题。
但是 crontab 的创建意味着攻击者必须对系统进行一些访问。很可能会遇到您的 Web 应用程序上的漏洞。
检查这些 CentOS 日志可能有助于找到攻击者登录机器的时间。
所有用户访问日志:/var/log/wtmp
根访问日志:/var/log/secure
我们有一个 CentOS[release 6.8 (Final)] 服务器,带有 Drupal 7.51 和 php 5.3.3 以及 apache。
当我们访问服务器上的某些页面时,服务器会调用随机 IP 地址。我们使用 tcpdump 命令跟踪了这个问题。这是输出:
在图中,IP 45.250.47.93 来自我们的网络,而 cpe-24-194-158-202.nycap.res.rr.com & 52.128.135.13 不属于我们。这些 IP 地址随着每个请求不断变化。
我们应该如何保护我们的服务器不向随机 IP 地址发出这些请求?
更多背景: 昨晚,我们的一些网站页面开始自动重定向到广告服务器。在调查中,我们意识到在我们的服务器上创建了一些 php 文件并添加了一个 crontab。我们删除了所有非我们创建的 php 文件,并禁用了 cron。从那时起,重定向到广告服务器的过程就停止了,但一些页面正在向随机 IP 地址发送请求。
您一定要尽快隔离该服务器,以免它造成更多损害。尝试在线修复它不是一种选择恕我直言,因为除非您完全了解他们是如何进入的(难度取决于)以及所做的事情(最困难的部分,即使对于专家来说也是如此),否则您永远无法确定是否已将其完全清理干净。
正确的做法是 stop/isolate 该服务器,确定黑客攻击的来源(例如,他们是如何进入的),修复它并重新安装一个干净且修复(或至少缓解)的实例一个新的服务器(被黑的服务器至少应该在重新使用之前格式化,或者甚至刷新 bios 以防黑客很复杂)。
调查可能会很长,确实应该离线进行。如果它是一个 VM,你可以创建一个快照,执行它,然后离线使用它进行取证分析。否则,您可能可以在救援模式下访问 FS 并将其全部复制。
似乎无法停止您的服务,但请相信我,您宁愿停机也不愿成为恶意软件更多传播的源头。
因为涉及到Drupal和php,所以很可能是入口点。与可信来源进行全面比较,您可能会找到 new/altered 个文件并了解泄漏。
我同意fab2s所说的一切。
向我发送请求的随机页面就像在该页面上修改了一段代码以发送该请求。可以是从某种 shell 到某种用户数据提取调用的任何东西。
您的应用程序与您的版本控制上的生产副本的差异可能会显示一些线索。
检查您的应用程序可能拥有的任何日志记录可能会发现一些问题。
但是 crontab 的创建意味着攻击者必须对系统进行一些访问。很可能会遇到您的 Web 应用程序上的漏洞。
检查这些 CentOS 日志可能有助于找到攻击者登录机器的时间。
所有用户访问日志:/var/log/wtmp
根访问日志:/var/log/secure