代码之家 › 专栏 › 技术社区 › Abhijit Jagtap

您的亚马逊EC2滥用报告

tomcat7 amazon-ec2 amazon-web-services java

Abhijit Jagtap · 技术社区 · 7 年前

我创建了amazon ec2实例来运行 Tomcat应用程序 但是亚马逊虐待团队发送了带有以下日志的邮件

<<<
AWS Account: ********
Report begin time: 14-12-2017 02:02:28 UTC
Report end time: 14-12-2017 02:03:28 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 294167550
Total packets sent: 291255
Total bytes received: 0
Total packets received: 0

AWS Account: ********
Report begin time: 14-12-2017 02:03:15 UTC
Report end time: 14-12-2017 02:04:15 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 1050081850
Total packets sent: 1039685
Total bytes received: 0
Total packets received: 0

是应用程序问题还是我错过了一些安全配置?

我们在/tmp中发现了一个未知的可执行应用程序,如下所示,在杀死后几秒钟再次出现。似乎它产生了未知的流量,所以我们现在继续并关闭服务器。

[root@ip-172-19-24-90 tmp]# file Lixsyn
Lixsyn: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
[root@ip-172-19-24-90 tmp]#

raw   104832 426240 0.0.0.0:6                   0.0.0.0:*                   7           19719/Lixsyn
raw   104832 228096 0.0.0.0:6                   0.0.0.0:*                   7           19719/Lixsyn


root@ip-172-31-40-123 tmp]# ifconfig
eth0      Link encap:Ethernet  HWaddr ********
          inet addr:******** Bcast:172.31.47.255  Mask:255.255.240.0
          inet6 addr: ********/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:9001  Metric:1
          RX packets:1136962 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2081358186 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:860855089 (820.9 MiB)  TX bytes:2130697820190 (1.9 TiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:11338 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11338 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:21689998 (20.6 MiB)  TX bytes:21689998 (20.6 MiB)

3 回复 | 直到 7 年前

Nans 7 年前

当ec2实例触发到您帐户之外的服务器的未知流量时,AWS会发送滥用报告。

这可能是由于一些未知的应用程序由于公开打开ssh/rdp端口而进入ec2实例。

你能做的是

配置ec2实例的安全组以允许ssh访问(端口22),源ip仅作为您自己的homr/office ip
执行netstat命令以查找所有进程ID正在访问thw滥用报告中提到的远程ip和端口号
获得进程ID后,使用ps-ef命令查找与其关联的所有进程,并删除所有相关路径
更改所有用户凭据并禁用无密码ssh登录。

回答关于防止对ec2上tomcat服务器的攻击的第二个问题。

避免在默认url/路径上公开tomcat manager应用程序
在服务器中使用“name”属性。xml以避免暴露。通过http头的容器名称和版本
最好将tomcat放在像nginx/haproxy这样的web层/代理之后,以限制暴力攻击的影响
对tomcat用户使用非常强的密码。

Abhijit Jagtap 7 年前

“Lixsyn”看起来像一个linux后门病毒。与应用程序无关 Linux.BackDoor.Gates

Symantec反病毒公司的研究员Takashi Katsuki发现了一种新的网络攻击正在进行中,攻击目标是一个开源Web服务器应用服务器Apache Tomcat,该服务器有一个基于Java的跨平台后门,可用于攻击其他机器。

该恶意软件称为“Java.Tomdep”,与其他服务器恶意软件不同,它不是用PHP脚本语言编写的。它基本上是一个基于Java的后门,充当Java Servlet,为Apache Tomcat平台提供恶意功能。

由于Java是一种跨平台语言,受影响的平台包括Linux、Mac OS X、Solaris和最受支持的Windows版本。该恶意软件在不到一个月前被检测到,到目前为止,受感染的计算机数量似乎很低。

你可能认为这种攻击只针对个人计算机,如台式机和笔记本电脑,但不幸的是,事实并非如此是的。服务器也可能受到攻击。他们是很有价值的目标, 因为它们通常是高性能计算机,全天候运行。

Java蠕虫搜索安装了Apache Tomcat的系统,然后尝试使用用户名和密码的组合使用密码暴力攻击登录。

安装后,恶意软件servlet的行为类似于IRC机器人,能够接收来自攻击者的命令。恶意软件能够从系统发送下载文件,创建新进程,自我更新,可以设置SOCKS代理,UDP洪泛,即可以执行大规模DDoS攻击。他们提到,指挥和控制服务器被追踪到台湾和卢森堡。我 n为了避免这种威胁,请确保您的服务器和AV产品已完全修补和更新。

请添加您的建议。。。。

mootmoot 7 年前

对于那些刚接触AWS但没有团队阅读所有详细信息的人,这里有一个提醒:在第一次免费1 GB之后,所有从EC2传输到internet的数据都将花费您的钱。

从Amazon EC2到Internet的数据传输

前1 GB/月每GB 0.00美元

每月高达10 TB每GB 0.09美元

未来40 TB/月每GB 0.085美元

由于EC2并不意味着被用作web托管服务,所以当有大量数据从EC2下载到internet时,AWS开始向管理员发送滥用电子邮件是及时的。

您应该检查这是否是Tomcat webapps的预期流量使用。

如果您没有预料到流量,例如没有人从internet外部连接到它,请检查网站是否存在可能的泄露,例如检查您的安全规则,建立仅信任特定IP范围的连接,而不是信任internet上的所有人的连接。
如果您预计流量,例如有多个用户连接到您的应用程序并产生大量流量,请重新考虑带宽需求,并开始考虑CDN(内容交付网络)以减轻所需负载。因为EC2 internet传出流量并不便宜,因为它不打算进行内容密集型下载。
请记住,如果您不将此流量移动到CDN,DDoS将导致AWS向您发送大量流量账单。

(更新) 正如上面的@Abhijit Jagtap所指出的,您的服务器可能已被破坏。也许此时您将服务器打开到Internet。僵尸网络可以轻松扫描可能的web服务版本并执行攻击。很可能您的Web服务(Tomcat、jre/jdk、Web服务器等)版本包含一些漏洞。您应该重新创建实例,执行所有硬化测量。请不要费心“清理”,这只是浪费时间。如果您想稍后进行一些取证,可以为受损的EC2实例创建快照。