網站被當Dos攻擊的跳台 - Linux

這幾天收到AWS的通知

說我的EC2 Instance 去攻擊別人

說我在05/30中午, 05/31早上這兩天攻擊別人

除了攻擊別人的80port 也有攻擊其它的port

我查了幾個log

nginx/access.log
nginx/error.log

syslog
auth.log


因為網站上有架很多網站
然後透過nginx來做虛擬伺服器

目前有以下幾個疑點

1.wordpress
因為先前有傳出xmlrpc的漏洞攻擊
有架wordpress會被當僵屍來攻擊別人
在30號時我查了跟xmlrpc.php有關的請求

log裏只有在19號跟25號有請求過
請求數也才11個

在30號時我從wordpress的設定、function code、跟nginx去阻擋一切有關
xmlrpc請求的服務

但是在31號早上時還是收到警告，說我們還在攻擊別人


2.ssh
因為原本是使用Key pair來登入vps
port也沒改
過去在查auth.log也的確有很多的hack想要試探登入
但沒有被登入的紀錄(我也知道真的被登入也早被洗掉了= =)
在30號收到通知後
我去把port改掉
想說要是真的是駭入
又要有key pair又要猜port
應該沒這麼容易吧？

但31號...嗯

3.被我們攻擊的伺服器ip
我去cat |grep log都沒查到我們有去攻擊aws所說的ip

4.magento
在30號前幾天，我們測試用的PHP套件magento
我用後台做了線上更新
而不是用下載回來的package去覆蓋升級
另外，此套件我們的後台帳密設的還蠻簡單的(因為測試用)


5. cat xxx.log | grep ooo
我查了aws所說的攻擊時間點附近的log
都沒看到什麼異常

6.netstat -ntu | awk xxxxxxx
有下這指令看有什麼異常的傳輸
但是hack發起的時間點又不是一直持續的
所以我下這指令時，server並沒有在攻擊別人
也查不出個所以然...

7.利用Xss來做Dos?
最後有想到是不是這個可能
目前是想到wordpress跟magento
可能更新時被人植入後門
再透過這後門來做Dos攻擊別人

另外magento要是後台被登入的話
hack也可以從後台去更改html code






以上
目前就想到這些
不知道還有哪些地方需要加強防範
或是有什麼指令方法可以更明確的查到我們到底是怎麼去攻擊別人的紀錄
還麻煩請教一下

--
標題 Re: [問卦] 第一次約伊湄出門該去哪裡用餐?

--