gpt4 book ai didi

java - 您的 Amazon EC2 滥用报告

转载 作者:行者123 更新时间:2023-12-01 07:01:21 26 4
gpt4 key购买 nike

I created amazon ec2 instance to run Tomcat application, but Amazon abuse team sent mail with the following log

<<<
AWS Account: ********
Report begin time: 14-12-2017 02:02:28 UTC
Report end time: 14-12-2017 02:03:28 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 294167550
Total packets sent: 291255
Total bytes received: 0
Total packets received: 0

AWS Account: ********
Report begin time: 14-12-2017 02:03:15 UTC
Report end time: 14-12-2017 02:04:15 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 1050081850
Total packets sent: 1039685
Total bytes received: 0
Total packets received: 0

是应用程序问题还是我错过了一些安全配置?

我们在/tmp 中发现了一个未知的可执行应用程序,如下所示,杀死后几秒钟后又出现了。看起来它会产生未知的流量,所以我们现在就关闭服务器。

[root@ip-172-19-24-90 tmp]# file Lixsyn
Lixsyn: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
[root@ip-172-19-24-90 tmp]#

raw 104832 426240 0.0.0.0:6 0.0.0.0:* 7 19719/Lixsyn
raw 104832 228096 0.0.0.0:6 0.0.0.0:* 7 19719/Lixsyn


root@ip-172-31-40-123 tmp]# ifconfig
eth0 Link encap:Ethernet HWaddr ********
inet addr:******** Bcast:172.31.47.255 Mask:255.255.240.0
inet6 addr: ********/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1
RX packets:1136962 errors:0 dropped:0 overruns:0 frame:0
TX packets:2081358186 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:860855089 (820.9 MiB) TX bytes:2130697820190 (1.9 TiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:11338 errors:0 dropped:0 overruns:0 frame:0
TX packets:11338 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:21689998 (20.6 MiB) TX bytes:21689998 (20.6 MiB)

最佳答案

当 ec2 实例触发到您帐户外部的服务器的未知流量时,AWS 会发送滥用报告。

这可能是由于一些未知的应用程序由于公开开放的 ssh/rdp 端口​​而进入您的 ec2 实例。

您可以在这里做的是

  1. 将您的 EC2 实例的安全组配置为仅允许使用源 IP 作为您自己的家庭/办公室 IP 的 SSH 访问(端口 22)
  2. 执行 netstat 命令来查找正在访问滥用报告中提到的远程 IP 和端口号的所有进程 ID
  3. 获取进程 ID 后,使用 ps -ef 命令查找与其关联的所有进程并删除所有相关路径
  4. 更改所有用户凭据并禁用无密码 ssh 登录。

回答您关于防止 ec2 上的 tomcat 服务器受到攻击的第二个问题。

  1. 避免在默认网址/路径上暴露 tomcat 管理器应用
  2. 在 server.xml 中使用“name”属性以避免暴露。 通过 http header 的容器名称和版本
  3. 最好将 tomcat 放在 Web 层/代理(例如 nginx/haproxy)后面,以限制暴力攻击的影响
  4. 为 tomcat 用户使用非常强的密码。

关于java - 您的 Amazon EC2 滥用报告,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47862841/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com