Score:0

จะติดตามบันทึกเฉพาะใน Ubuntu ได้อย่างไร (ซีพียู)

ธง cn

เรามีอินสแตนซ์ EC2 นี้: T2.medium รัน apache พร้อมโฮสต์เสมือน 4 โฮสต์ (4 ไซต์) บางครั้ง CPU ไปถึงระดับที่สูงมากโดยไม่ทันตั้งตัว อาจเป็นการโจมตี

ฉันเคยเห็นไฟล์ wordpress ของเราบางไฟล์ถูกแก้ไข

ฉันจะตรวจสอบได้อย่างไรว่าใครเขียนในไฟล์เหล่านั้น ฉันจะตรวจสอบบันทึกของ CPU เพื่อดูว่ากระบวนการใดส่งผลกระทบต่อมันได้อย่างไร มีเมตริก Cloudwatch ใดบ้างที่ฉันสามารถใช้ได้

เราได้ทำการปรับปรุงเซิร์ฟเวอร์: อัปเดต, เรียกใช้ AWS Inspector, lynis, แก้ไขไฟล์ config ssh

มีวิธีใดบ้างที่จะดูว่าใครและจัดการอย่างไรในการเข้าและแก้ไขไฟล์ wordpress เหล่านั้น?

และคุณแนะนำวิธีปฏิบัติอื่น ๆ ในการชุบแข็งอย่างไร?

Score:0
ธง nr

มีคำถามหลายข้อที่นี่

ใครเป็นคนเขียนไฟล์

ระบบปฏิบัติการไม่ได้บันทึกข้อมูลนี้ แต่มีเงื่อนงำบางอย่าง:

  • วันที่แก้ไข
  • สิทธิ์ของไฟล์

ใช้วันที่แก้ไขไฟล์เพื่อจำกัดการค้นหาบันทึกการเข้าถึง Apache ของคุณให้แคบลง ตรวจสอบอย่างน้อยที่สุดสำหรับสิ่งใด โพสต์ คำขอและการเข้าสู่ระบบในช่วงเวลานั้น ตัวอย่างเช่น นี่จะแสดงความพยายามในการเข้าสู่ระบบทั้งหมด:

zgrep 'โพสต์ /wp-login.php' /var/log/apache2/*access*

จากนั้น คุณสามารถกรองผลลัพธ์ตามช่วงเวลาที่คุณได้รับจากเวลาแก้ไขไฟล์

หากไฟล์ที่ได้รับการแก้ไขนั้นสามารถเขียนได้โดยผู้ใช้ระบบบางรายเท่านั้น คุณจึงมั่นใจได้อย่างสมเหตุสมผลว่าไฟล์เหล่านั้นถูกแก้ไขโดยผู้ใช้ระบบเหล่านั้น

กระบวนการใดที่ตรึง CPU

ข้อมูลนี้ไม่ถูกบันทึกโดยค่าเริ่มต้น หากไม่สามารถพยายามตรวจสอบเซิร์ฟเวอร์ "สด" -- เช่นกับด้านบน -- แสดงว่ามีเครื่องมือบันทึกต่างๆ ที่คุณสามารถใช้ได้ นี่คือคำถามเกี่ยวกับข้อผิดพลาดของเซิร์ฟเวอร์ ที่แนะนำเครื่องมือต่าง ๆ เพื่อจุดประสงค์นี้

การระบุว่าคุณถูกแฮ็กหรือไม่

นี่เป็นหัวข้อที่ใหญ่กว่า แต่ที่ฉันจะเริ่มเนื่องจากคุณกล่าวถึงการแก้ไขไฟล์ WordPress คือการตรวจสอบว่าการแก้ไขเหล่านี้เป็นอันตรายหรือไม่ เรียกใช้โปรแกรมสแกนมัลแวร์ WordPress และ/หรือมองหารูปแบบที่เป็นอันตราย เช่น eval(base64_decode(, php เว็บเชลล์และอื่น ๆ หากคุณไม่แน่ใจ ให้อดทน ถี่ถ้วน โพสต์คำถามเพิ่มเติมหากต้องการ

การพิจารณาว่าผู้โจมตีเข้าถึงได้อย่างไร

หากคุณมั่นใจอย่างมีเหตุผลว่าไซต์นั้นถูกแฮ็ก คุณสามารถลองพิจารณาว่าผู้โจมตีเข้าถึงได้อย่างไร เป็นไปได้สองวิธีที่สิ่งนี้อาจเกิดขึ้นได้คือผ่านการลงชื่อเข้าใช้บัญชีผู้ใช้ที่เป็นผู้ดูแลระบบหรือผ่านช่องโหว่ ในกรณีส่วนใหญ่ ยากที่จะระบุด้วยความแน่นอนในระดับสูงแต่ถ้าคุณใช้ซอฟต์แวร์ที่มีช่องโหว่ที่รู้จัก โดยเฉพาะอย่างยิ่งซอฟต์แวร์ที่มีการแสวงประโยชน์จากสาธารณะและอนุญาตให้มีการเรียกใช้โค้ดจากระยะไกล นี่ก็เป็นไปได้มาก และหากผู้ใช้ที่เป็นผู้ดูแลระบบ WordPress มีข้อมูลประจำตัวที่อ่อนแอหรือข้อมูลประจำตัวของพวกเขา ถูกรั่วไหลแล้วนี่เป็นไปได้มาก

ชุบแข็งต่อไป

หากคุณเชื่อว่าเซิร์ฟเวอร์ถูกบุกรุก คุณควรอ้างอิงถึง คำตอบที่ยอมรับในเรื่อง.

Score:0
ธง gp
Tim

นี่ไม่ได้มีไว้เพื่อเป็นคำตอบแบบเต็ม แต่เป็นส่วนเสริมของคำตอบโดย sceox

คุณควรดูที่ การทำให้ Wordpress แข็งตัว, และ สิทธิ์ไฟล์ Wordpress.

ฉันมีการตั้งค่าดังนี้:

  • ผู้ใช้ / กลุ่มหนึ่งคนเป็นเจ้าของไฟล์
  • PHP เป็นส่วนหนึ่งของกลุ่มที่สามารถอ่านไฟล์ Wordpress รวมถึงปลั๊กอิน / ธีม / ฯลฯ แต่ไม่สามารถเขียนถึงพวกเขาได้ มันสามารถเขียนไปยังโฟลเดอร์อัพโหลดเพื่อให้สามารถอัพโหลดภาพโดยใช้ Wordpress GUI สิ่งนี้ทำให้ทุกอย่างบนอินเทอร์เน็ตสามารถประนีประนอมไฟล์ Wordpress ได้ยากมาก
  • ฉันมีสคริปต์ที่ใช้ไฟล์ Wordpress CLI เพื่อทำการอัปเดต Wordpress และปลั๊กอินในเวลา 02.00 น.
  • ต้องติดตั้งปลั๊กอินใหม่ด้วย Wordpress CLI ไม่สะดวกเท่า แต่ปลอดภัยกว่ามาก

นี่คือสคริปต์ที่ฉันใช้ซึ่งทำงานใน cron job

#!/bin/bash
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

เสียงสะท้อน
echo Wordpress Update และ Permissions Script เริ่มต้น
echo "$ (วันที่) การอัปเดต Wordpress และการสำรองข้อมูลเริ่มต้นขึ้น" >> /var/log/me/my-wordpress-upgrades 2>&1

# ฟังก์ชั่นอัพเกรด wordpress
ฟังก์ชั่น upgrade_wordpress () {
    # ตั้งค่าโฟลเดอร์ในรูปแบบที่จำเป็น
    ผช.=$1
    อัปโหลด=$1/wp-เนื้อหา/อัปโหลด

    echo การอัปเกรดคอร์ Wordpress, ปลั๊กอิน, ธีมใน ${dir}
    sudo -H -u www-user bash -c "wp core update --path=$dir"
    sudo -H -u www-user bash -c "wp plugin update --all --path=$dir"
    sudo -H -u www-user bash -c "การอัปเดตธีม wp --all --path=$dir"

    echo ตั้งค่าการอนุญาต wordpress เป็น 755 ไฟล์และ 644 โฟลเดอร์
    ค้นหา ${dir} -type d -exec chmod 755 {} \;
    ค้นหา ${dir} -type f -exec chmod 644 {} \;
    chmod 440 ${dir}/wp-config.php

    echo ทำให้โฟลเดอร์อัพโหลด ${uploads} เขียนได้โดยเว็บเซิร์ฟเวอร์
    chown -R www-data:www-data ${อัปโหลด}

    echo Wordpress อัพเกรดในราคา $1 เสร็จสมบูรณ์
    เสียงสะท้อน
    เสียงสะท้อน
}


echo การตั้งค่า /var/www อนุญาต www-user:www-data
chown -R www-ผู้ใช้:www-data /var/www/

# เรียกใช้การอัปเดต Wordpress สำหรับการติดตั้ง wordpress แต่ละครั้ง
upgrade_wordpress /var/www/blog1
upgrade_wordpress /var/www/blog2

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา