java - 您的 Amazon EC2 滥用报告

Question

I created amazon ec2 instance to run Tomcat application, but Amazon abuse team sent mail with the following log

<<<
AWS Account: ********
Report begin time: 14-12-2017 02:02:28 UTC
Report end time: 14-12-2017 02:03:28 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 294167550
Total packets sent: 291255
Total bytes received: 0
Total packets received: 0

AWS Account: ********
Report begin time: 14-12-2017 02:03:15 UTC
Report end time: 14-12-2017 02:04:15 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 1050081850
Total packets sent: 1039685
Total bytes received: 0
Total packets received: 0

是应用程序问题还是我错过了一些安全配置？

我们在/tmp 中发现了一个未知的可执行应用程序，如下所示，杀死后几秒钟后又出现了。看起来它会产生未知的流量，所以我们现在就关闭服务器。

[root@ip-172-19-24-90 tmp]# file Lixsyn
Lixsyn: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
[root@ip-172-19-24-90 tmp]#

raw   104832 426240 0.0.0.0:6                   0.0.0.0:*                   7           19719/Lixsyn
raw   104832 228096 0.0.0.0:6                   0.0.0.0:*                   7           19719/Lixsyn


root@ip-172-31-40-123 tmp]# ifconfig
eth0      Link encap:Ethernet  HWaddr ********
          inet addr:******** Bcast:172.31.47.255  Mask:255.255.240.0
          inet6 addr: ********/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:9001  Metric:1
          RX packets:1136962 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2081358186 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:860855089 (820.9 MiB)  TX bytes:2130697820190 (1.9 TiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:11338 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11338 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:21689998 (20.6 MiB)  TX bytes:21689998 (20.6 MiB)

Answer 1

当 ec2 实例触发到您帐户外部的服务器的未知流量时，AWS 会发送滥用报告。

这可能是由于一些未知的应用程序由于公开开放的 ssh/rdp 端口​​而进入您的 ec2 实例。

您可以在这里做的是

1. 将您的 EC2 实例的安全组配置为仅允许使用源 IP 作为您自己的家庭/办公室 IP 的 SSH 访问(端口 22)
2. 执行 netstat 命令来查找正在访问滥用报告中提到的远程 IP 和端口号的所有进程 ID
3. 获取进程 ID 后，使用 ps -ef 命令查找与其关联的所有进程并删除所有相关路径
4. 更改所有用户凭据并禁用无密码 ssh 登录。

回答您关于防止 ec2 上的 tomcat 服务器受到攻击的第二个问题。

1. 避免在默认网址/路径上暴露 tomcat 管理器应用
2. 在 server.xml 中使用“name”属性以避免暴露。 通过 http header 的容器名称和版本
3. 最好将 tomcat 放在 Web 层/代理(例如 nginx/haproxy)后面，以限制暴力攻击的影响
4. 为 tomcat 用户使用非常强的密码。