use*_*143 2 security ssh amazon-ec2
我在 Amazon EC2 上运行了一些基于 Rightscale CentOS AMI 的实例。两个月前,我发现我们的 SSHD 安全受到威胁(我为 ssh 添加了 host.allow 和 host.deny)。所以我创建了新实例并完成了一个基于 IP 的 ssh,它只允许我们的 IP 通过 AWS 防火墙(ec2-authorize)并将 ssh 22 默认端口更改为其他端口,但两天前我发现我无法登录到服务器当我在 22 端口上尝试 ssh 时,我发现 sshd_conf 已更改,当我尝试编辑 sshd_config 时,我发现 root 没有对该文件的写权限。所以我尝试了一个 chmod,它说“root”用户拒绝访问。这很奇怪。我检查了安全日志和历史记录,没有发现任何信息。我在这些服务器上运行 PHP、Ruby On Rails、Java、Wordpress 应用程序。
这次我做了一个 chkrootkit 扫描并没有发现任何东西。我重命名了 /etc/ssh 文件夹并通过 yum 重新安装了 openssh。我在 CentOS(5.2, 5.4) 上的 3 个实例上遇到过这个问题,我在 Debian 上有实例,也有工作正常的实例。这是一个 CentOS/Rightscale 问题。伙计们,我应该采取什么安全措施来防止这种情况发生。
我怀疑这也可能是内部黑客,因为我们只允许我们的 IP 进行 ssh。
所以我打算使用一个键盘记录器,它可以记录每个用户和终端的所有击键。你能给我推荐一些最适合这个目的的 Linux keylogget 吗?
我确信这是和 ssh 攻击,但不知道他们是怎么做的。CentOS 5仍然使用openssh 4.3,所以我编译了openssh 5.5,发现他们改变了/usr/bin/ssh和/usr/sbin/sshd的属性。我不得不使用 lsattr filename chattr -ia filename 来删除属性并成功编译 openssh。现在我正在尝试设置 chroot 并设置 Osiris 以防万一。
请分享您的想法。我还需要一个键盘记录器记录所有 tty 击键,您建议使用哪一个?
谢谢您的支持。
基本上,你被搞砸了。
如果你真的被利用了,他们可能会在 SSHD 二进制文件或系统上的任何其他文件中添加一个后门......由于源代码可用,这很容易做到,如果你没有发现,则非常困难。提前计划。
如果您在问题发生之前没有安装 Tripwire 或类似软件,您基本上将不得不根据已知的干净安装检查系统上的每个文件。
更容易将您的应用程序移动到干净的服务器。
最好的预防措施是文件完整性扫描程序。基本上,它会检查系统上的每个文件,并对其进行散列。然后它会定期重新扫描,并通知您任何更改。使清理变得轻而易举。
我同意你可能没有通过 SSH 被利用......我几乎从未见过这种情况发生,当它发生时,通常是因为守护进程中存在未修补的漏洞。暴力破解 SSH 密码通常是失败的原因。
编辑:今天下午我一直在阅读Osiris,它看起来很酷。它会定期重新扫描并向您发送更改文件的电子邮件。Tripwire的企业版提供实时检查,但您当然需要为此付费。Tripwire也有一个开源版本,它从更古老的开源tripwire 那里接过了缰绳,并且也非常可靠。