我上周三从vmworld到实验室,在那段时间里,有些东西感染了我控制的两个网站。
我怀疑服务器被用作SYN洪水攻击的一部分。Servers,都使用WordPress,会出现并为其网页提供服务,但随后它们将通过难以跟踪的进程快速退缩。
+也在网络世界上:有个足球雷竞技app分析真正的Wordpress黑客尝试+
他们最初与在俄罗斯方便的IPS联系,然后是大量的SYN流量以及有趣的会议等待和侦听。在从资源排水升空之前大约需要两分钟,并且错误的注射过程占主导地位,然后将服务器从他们身上有效地播放故意的用。
反过来,网站下面有Debian。我可以扎根和Debian大约一分钟,直到壳体性能恶化到总停止。
使用NetStat -A来发现第一个线索,以查看交通运行的位置。起初,连接了许多IP。我试图使用iptables删除他们的连接。然后重新启动后,其他IPS会显示出来,直到我填满了一个丢弃的IP地址表。
我的猜测:init文件中的东西打电话给home,得到了指令,然后去上班,咀嚼实例资源,直到他们主导了实例。经过十几个左右重新启动,我拥有它们,或者至少没有新的IP开始突出。
两个WordPress服务器使用4.5,需要升级到4.6。两者都有Wordfence的免费版本,在这种情况下,WordPress安全插件与Kleenex一样强。是8.75美元/月的Wordfence版本,值得阻挡外国IPS吗?我正在重新考虑我的决定不要得到专业版。看起来像USURY给我,但是,对于花费取得的时间来说 - 这在这篇文章中远非完整 - 可能是值得的钱,拯救我不会学到很多东西。
我重新做了服务器:一个从头开始,另一个来自勤奋备份提供的更新快照。无论如何,其中一个网站需要一张新鲜的脸。
得到教训:
- 这些是因为他们是Debian或WordPress的目标,因为没有触及其他资产。
- 它会花费时间比我想到的裂缝根本原因所带走,而在我这样做的时候,我还没有在实验室做真正的工作。
- 备份救了我的培根(我是素食主义者)。
- 如果您想要任何取得的成功希望,请知道并记录您的配置。您无法猜测逻辑配置 - 您必须通过记录它们并具有Doc可访问的文档来了解它们。
- 如果您自己托管事物而不是云提供商,您就可以自己掌握,但可能会有更快的时间乘坐被感染的时间作为不需要中间人的直接结果 - 如果您与平台和应用程序完全如此。
- 我的网站上没有有价值的资产,但是对于那些有价值的人来说,记录这些资产是非常重要的。
- Wordpress备份不会备份主机配置文件。你做。我做了。哇!
- 我想知道像Sophos这样的人会看看WordPress并为Wordfence的免费软件版本提供一个有趣的替代品吗?
网站今天上线了。我要的不是点击量。它们是我“在网上”的练习。我希望有更多的尝试。有趣的是,他们没有击中我的蜜罐。保存的Syslog文件(实际上是整个/var/log);如果时间允许,我就慢慢地看一遍。在那之前,cron会更频繁地对网站进行ping。