如何在 linux 中查找出站網路流量的證據
我使用 bitnami Apache-Tomcat AMI 在 AWS 中設置了標準 Web 應用程序伺服器。該實例在公共子網中執行,所有出站流量均打開,但僅允許通過埠 22(僅來自我的 IP)和來自負載均衡器的埠 80 和 443 入站流量。
我最近受到了巨額數據費用的打擊,因為在過去幾週內,該實例以某種方式傳輸(出站)超過 14TB。我在 2 天前關閉了伺服器,然後將其啟動,並正在四處尋找任何可能向我展示正在發生的事情的任何描述的日誌。(基本的 AWS 報告沒用)。我剛剛安裝了 IPTraf,所以我至少可以監控網路流量(一切都很安靜),並且還設置了一些 Cloud Watch 警報以確保它不會再次發生。
有什麼想法可以讓我找到證據,證明是什麼導致了大量數據出站以及轉移到哪裡?
乾杯
好吧,出站數據的高峰值再次發生在今天早上。我使用 tshark(感謝@tonioc)看到數據被發送到世界各地的多個 IP,更具體地說是中國.. :-/ 無論如何,我正在從 tshark 創建一些轉儲並將它們儲存在 /tmp 文件夾中並意識到那裡是一個名為 fake.cfg 的文件坐在那裡。我立即認為這是可疑的,因此進行了一些研究,發現我的伺服器已使用我正在執行的 tomcat-apache bitnami 實例附帶的主機管理器中的漏洞被黑客入侵。密碼很可能是猜測的,他們安裝了惡意應用程序。在我的 webapps 文件夾中還有一個“hosts-manager”應用程序,它不應該存在,並且其中包含一個 index.jsp 文件,其中包含一系列惡意腳本。
無論如何,我已經清除了所有這些腳本,並從我的 webapps 文件夾中完全刪除了對 host-manager 和任何其他 bitnami 頁面的訪問,現在只能訪問我的 webapp。我還確保所有預設密碼都已更改,並且已對我的實例監控出站數據的峰值。
關於這些問題的一些文章:
http://www.coderanch.com/t/628222/Tomcat/fake-cfg-tmp-directory-lot https://stackoverflow.com/questions/20017515/aws-network-traffic-high-due-to-folder-29881-and-fake-cfg http://blog.rimuhosting.com/2013/08/09/old-tomcat-5-5-installs-being-exploited/
我想我現在一切都很好。
乾杯