linux - AWS Linux: インターネット上のリモート ホストに対する違法な侵入の試み。予防方法は？

Question

Linux インスタンスを起動し、次のことを行いました。

1. 22、80、および 8080 ポートのみがインバウンド ルールとして「すべての場所」に開かれました
2. git、ruby、ruby-dev、apache、youtrack のみが、元のソースから、または「yum install」コマンドを使用してインストールされました。
3. 接続の SSH パスワード認証を許可しました。
4. 私はいくつかのユーザーを作成しました。

しかし、以下のメールが届きました。

Dear Amazon EC2 Customer,

We've received a report that your instance(s):

Instance Id: i-******
IP Address: 52.33.***.***



has been making illegal intrusion attempts against remote hosts on the Internet; check the information provided below by the abuse reporter.

Host Intrusion is specifically forbidden in our User Agreement: http://aws.amazon.com/agreement/

Please immediately restrict the flow of traffic from your instances(s) to cease disruption to other networks and reply this email to send your reply of action to the original abuse reporter. This will activate a flag in our ticketing system, letting us know that you have acknowledged receipt of this email.

It's possible that your environment has been compromised by an external attacker. It remains your responsibility to ensure that your instances and all applications are secured. The link http://developer.amazonwebservices.com/connect/entry.jspa?externalID=1233
provides some suggestions for securing your instances.

Case number: ************-1

Additional abuse report information provided by original abuse reporter:
* Destination IPs: 
* Destination Ports: 
* Destination URLs: 
* Abuse Time: Fri Nov 13 13:28:00 UTC 2015
* Log Extract: 
<<<
2015-11-13 05:28:10.279 52.33.***.*** 40806 ***.***.193.0 22 ....S. 6 3 
2015-11-13 05:28:17.495 52.33.***.*** 40806 ***.***.193.0 22 ....S. 6 1 
2015-11-13 05:28:20.018 52.33.***.*** 49968 ***.***.193.1 22 ....S. 6 3 
2015-11-13 05:28:27.378 52.33.***.*** 49968 ***.***.193.1 22 ....S. 6 1 
2015-11-13 05:28:29.998 52.33.***.*** 36185 ***.***.193.2 22 ....S. 6 1 
2015-11-13 05:28:30.999 52.33.***.*** 36185 ***.***.193.2 22 ....S. 6 1 
2015-11-13 05:28:32.999 52.33.***.*** 36185 ***.***.193.2 22 ....S. 6 1 
2015-11-13 05:28:36.999 52.33.***.*** 36185 ***.***.193.2 22 ....S. 6 1 
2015-11-13 05:28:40.246 52.33.***.*** 59503 ***.***.193.3 22 ....S. 6 2 
2015-11-13 05:28:43.471 52.33.***.*** 59503 ***.***.193.3 22 ....S. 6 1 
2015-11-13 05:28:47.517 52.33.***.*** 59503 ***.***.193.3 22 ....S. 6 1 
2015-11-13 05:28:50.070 52.33.***.*** 48731 ***.***.193.4 22 ....S. 6 3 
2015-11-13 05:28:57.589 52.33.***.*** 48731 ***.***.193.4 22 ....S. 6 1 
2015-11-13 05:28:59.967 52.33.***.*** 58537 ***.***.193.5 22 .A.RS. 6 3 
2015-11-13 05:28:59.921 52.33.***.*** 58647 ***.***.193.5 22 .APRS. 6 12 
2015-11-13 05:29:01.999 52.33.***.*** 58647 ***.***.193.5 22 ...R.. 6 1 
2015-11-13 05:29:01.968 52.33.***.*** 59568 ***.***.193.5 22 .APRS. 6 12 
2015-11-13 05:29:03.970 52.33.***.*** 59568 ***.***.193.5 22 ...R.. 6 1 
2015-11-13 05:29:04.007 52.33.***.*** 60527 ***.***.193.5 22 .APRS. 6 12 
2015-11-13 05:29:05.999 52.33.***.*** 60527 ***.***.193.5 22 ...R.. 6 1 

1. ポートを特定の IP アドレスに制限することは、私たちにとって選択肢ではありません。

2. SSH ポート 22 のトラフィック ログを確認するにはどうすればよいですか?

   何を指示してるんですか？私は何をすべきか？

それは新しいホストであり、PC にマルウェアがないので、侵害/ハッキングされたとは思いませんか?

誰かが私のサーバーをハッキングするにはどうすればよいですか? これは誤って送信された不正行為レポートでしょうか?

ありがとうございました、

Answer 1

あなたのインスタンスはおそらく構成されていました。パスワード認証のためにインスタンスを開いているか、攻撃者がインスタンスにマルウェアをインストールできるセキュリティ上の問題があるアプリケーションをインストールしたことが原因です。

新しいインスタンスが侵害されるまで、それほど時間はかかりません。IP アドレスの脆弱性を常にスキャンしている人がいます。

SSH を安全に保つには、キー認証のみを使用し、可能であれば、特定の IP アドレスへのホワイトリスト アクセスを使用する必要があります。