Bezpieczeństwo Debiana: wiele połączeń na porcie 80

Mam serwer Debiana (jądro: 2.6.32-5-amd64).

Zwykle uruchamiam na nim serwer pomostowy, ale ostatnio zaczęło się z nim robić mnóstwo połączeń. Nie powinien uzyskać całego tego ruchu, ponieważ jest to dość nieznany serwer.

Bieganie:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Wysyła setki adresów IP. Próbowałem dodać je wszystkie do listy rozwijanej iptables, ale wciąż pojawiają się nowe adresy IP.

Potem poszedłem naprzód i zatrzymałem Jetty, a wszystkie połączenia zniknęły. Aby upewnić się, że nie jest to luka w zabezpieczeniach w Jetty, uruchomiłem apache2 i wszystkie połączenia zaczęły się od razu.

Wygląda na to, że ludzie używają go jako serwera proxy, używając urlsnarf, który wyświetla mnóstwo wychodzących żądań na forach, stronach reklamowych, a ty nazywasz to. Robi tak wiele żądań, że procesor przeskakuje w górę i w dół, a ostatecznie serwer ulega awarii.

Czy ktoś wie, jak to zrobić? Wygląda na to, że jakikolwiek serwer znajduje się na porcie 80, to natychmiast się zaczyna.

Czy to atak DDOS? W jaki sposób ludzie używają mojego serwera jako proxy, tylko z listą oprogramowania na porcie 80?

Mam hostdeny zainstalowane i deflate ( http://deflate.medialayer.com/ ), ale problem nadal występuje.

Byłbym bardzo wdzięczny, jeśli podejrzewasz lub masz pomysł, jak zabezpieczyć i naprawić ten problem.

Jeśli muszę podać więcej danych, daj mi znać.

Z góry dziękuję

linux networking security debian Bolli
źródło

Odpowiedzi:

To nie jest atak DDOS, jeśli przez serwer odbywa się prawdziwy ruch.

To, co opisujesz, nie powinno być możliwe, ale hakerzy wciąż mogli znaleźć sposób. Jeśli serwer został przejęty, istnieje większe prawdopodobieństwo, że atak przyszedł z sieci za pośrednictwem innego zainfekowanego komputera.

Sugerowałbym sformatować dysk tego serwera i ponownie zainstalować całe oprogramowanie. Upewnij się, że jest on zaporą ogniową zarówno z sieci zewnętrznej, jak i wewnętrznej.

Należy również zweryfikować wszystkie komputery w sieci wewnętrznej, które mają dowolny dostęp do tego serwera, a w przyszłości bardziej ograniczyć taki dostęp.

Postępuj zgodnie z poniższymi artykułami dotyczącymi Apache (więcej informacji z pewnością znajdziesz gdzie indziej):

Wskazówki bezpieczeństwa - Serwer HTTP Apache
20 sposobów na zabezpieczenie konfiguracji Apache

Jest wiele artykułów na temat hartowania Linuksa, więc oto tylko kilka:

20 Wskazówki dotyczące bezpieczeństwa
hartowania serwera Linux Lista kontrolna hartowania serwera Linux Red Hat

harrymc
źródło

Dzięki harrymc - faktycznie próbowałem ponownie zainstalować serwer z najnowszym Ubuntu (jest to maszyna wirtualna, więc stworzyłem nowy serwer i przypisałem mu statyczny adres IP). Następnie ponownie uruchomiłem serwer Jetty na porcie 80 (tylko z domyślną stroną html serwera) - i żądania zaczęły ponownie zalewać się. Próbowałem również usunąć Jetty i zainstalować apache zamiast tego, ale jak tylko uruchomię usługę apache2 (ponownie tylko z domyślną stroną „to działa!”), Żądania ponownie zaczynają wbijać ind.

Bolli

Czy ta maszyna wirtualna jest bezpośrednio połączona z Internetem za pomocą stałego adresu IP? Czy żądania z Internetu czy wewnętrzne?

harrymc

Jest to bezpośrednio związane ze statycznym / stałym adresem IP. Wnioski pochodzą z całego świata, jak sądzę, z innych zainfekowanych serwerów. Jak powiedziałem w innym komentarzu, Wireshark pokazuje, że wszystkie te żądania są żądaniami SYN, więc zastanawiam się, czy dostaję SYN Flooded. Zastosowałem następujące kroki, aby temu zapobiec: pierre.linux.edu/2010/04/... Ale nadal nie rozumiem, w jaki sposób mogą one wykonywać żądania GET do serwerów zewnętrznych, gdy mój serwer wyświetla się tylko na PORT 80?

Bolli

Dodanie tych kroków, aby uniknąć powodzi SYN, nie pomogło. Jedyne, co działa, to ręczne blokowanie adresów IP w iptables, ale wciąż pojawiają się nowe adresy IP. Planowałem uruchomić to jako serwer produkcyjny w najbliższej przyszłości, więc nie mogę po prostu automatycznie ich wszystkich zablokować. Chyba że istnieje sposób na oddzielenie tych żądań od życzliwych / normalnych wniosków?

Bolli

Widzę możliwości, że poprzedni właściciel tego adresu IP (1) prowadził usługę proxy, (2) intensywnie korzystał z P2P, (3) lub części sieci, takiej jak TOR, (4) lub został zainfekowany botnetem i służył jako węzeł komunikacyjny (5) lub że ten segment IP jest przeskanowany przez botnet. Jest całkiem możliwe, że ten poprzedni właściciel również poprosił o zmianę adresu IP lub odwołanie go z powodu nielegalnych działań, i tak to się stało ...

harrymc

Nie jest to tak naprawdę na ten temat, ale radzę zaktualizować jądro, ponieważ 2.6.32-5 jest podatne na lokalne rootowanie.

Ale twój serwer może już być zagrożony i być używany jako serwer proxy dla kogoś, jeśli prowadzisz witrynę, sprawdź, czy są to podejrzane strony.

Zainstaluj także oprogramowanie antywirusowe.

Zazwyczaj ataki DDoS pojawiałyby się jako żądania SYN, gdybyś spojrzał na ruch przez program taki jak wireshark

użytkownik2341069
źródło

Dzięki za odpowiedź. Wireshark pokazuje wiele żądań SYN i ACK. Pokazuje również wiele żądań GET do wszelkiego rodzaju dziwnych / spamujących adresów URL. Nie rozumiem, w jaki sposób mogą wykonywać wychodzące żądania GET, gdy <wstaw dowolne oprogramowanie> wyświetla list na porcie 80. Jeśli zamknę listę oprogramowania na porcie 80, wszystko się zatrzymuje.

Bolli

Potwierdzenia ACK oznaczają, że najprawdopodobniej nie jest to atak DDoS, przy pełnej ponownej instalacji te żądania są nadal wyświetlane?

user2341069,

Tak - to serwer wirtualny (patrz moje komentarze do odpowiedzi Harrymca), więc próbowałem utworzyć nowy VPS (z najnowszym Ubuntu zamiast Debiana) i przypisać mu ten sam statyczny adres IP, podczas gdy oryginalny serwer był wyłączony. To samo dzieje się ponownie. Jednak Wireshark wyświetla więcej żądań SYN niż ACK.

Bolli

Dzięki za całą uwagę.

W końcu napisałem do mojej firmy hostingowej i otrzymałem nowy zestaw adresów IP, teraz ataki całkowicie ustały.

Nadal jestem ciekaw, jak te ataki zostały wykonane, więc jeśli ktoś ma jakiś wkład - nadal jestem zainteresowany dobrą odpowiedzią. Ale na razie problem został dla mnie rozwiązany.

Dzięki jeszcze raz.

Bolli
źródło

→ Bolli: czy te przychodzące pakiety SYN i ACK odpowiadają Twoim wysyłającym SYN? Jeśli tak, sprawdź, który proces na Twoim serwerze je wysyła. Jeśli, jak się domyślałem, nie przychodziły w odpowiedzi na twoje prawdziwe prośby, są to po prostu masowe skany z botnetu.

dan