2016-06-03 13 views
0

며칠 전에 EC2 인스턴스 중 하나가 해킹당했습니다.AWS EC2 인스턴스 해킹

서버에 SSH를 통해 로그인을 시도했지만 연결할 수 없습니다. 나는 개인 키에 액세스 할 수있는 유일한 사람이며 안전한 장소에 보관합니다.

다행히도 나는 모든 것을 백업했으며 웹 앱을 새로운 인스턴스로 옮길 수있었습니다.

내 관심사는 지금 내 인스턴스가 처음 해킹 된 방법을 모르겠다는 것입니다.

개인 키를 사용하여 SSH를 통해 로그인 할 수없는 이유는 무엇입니까? 나는 서버에 저장된 개인 키를 (쉽게) 삭제할 수 없다고 가정합니다.

해커가 인스턴스에 액세스하는 방법을 알 수있는 방법이 있습니까? 아마도 올바른 방향으로 나를 가리킬 로그 파일 일 것입니다.

문제의 EBS 볼륨을 새 인스턴스에 첨부하고 여기에있는 항목이나이 경우 내 옵션이 무엇인지 볼 수 있습니까?

지금 당장 해킹 된 인스턴스에 액세스해야합니다.

감사합니다.

+0

뭔가 의미가 없습니다 .. 개인 키가 인스턴스에 없으며 공개 키만 있습니다. 개인 키가 당신과 함께 UR 로컬 컴퓨터에 있습니다. 그게 타협 된거야, 너 누군가와 그걸 나누고 있니?. – Shibashis

답변

1

암호로 컴퓨터에 로그인했을 수 있습니다. ssh config에서 PasswordAuthentication 값을 확인하십시오. yes로 설정하면 사용자는 암호를 사용하여 원격으로 인스턴스에 로그인 할 수 있습니다./var/log/secure에서 원격 로그인을 확인하십시오. 모든 로그인 (암호 또는 키 기반)이 표시됩니다.

누군가 'root'로 로그인 한 경우 ssh 키를 수정할 수 있습니다.

+0

인스턴스에 연결할 수없는 경우이를 어떻게 확인할 수 있습니까? FTP 또는 SSH가 더 이상 작동하지 않습니다. 인스턴스에서 잠겼습니다. – LeuName

+1

@ Karen B 언급했듯이 루트 볼륨의 EBS 스냅 샷을 가져 와서 새로운 ec2 인스턴스에 첨부합니다 (볼륨 생성). 볼륨 마운트 및 로그 파일보기 –

1

@Krishna Kumar R은 해커가 아마도 ssh 키를 변경하는 것에 대해 정확합니다.

다음 단계 :

  1. 중지 예,하지만, 해지/민감한 자격 증명을 만료 아직

  2. 을 종료하지 않습니다

    안전 문제 (! 지금 다음을) 다른 사이트 및 서비스에 대한 암호 및 키를 포함하여 인스턴스에 저장됩니다. 해당 인스턴스에 저장된 모든 항목이 손상된 것으로 간주됩니다.

    1. 인스턴스의 루트 볼륨의 EBS 스냅 샷을

    사후

  3. 스냅 샷에서 새 볼륨을 확인하고 첨부 (즉, 로그가 저장되는 것 가정) (비 프로덕션) 인스턴스

  4. 로그를 읽고 시작합니다.이것은 리눅스 호스트이며 방화벽에서 열린 포트 (22)가있는 경우, 나는 /<mount-point>/var/log/auth.log

0

당신이 그것은 "되었습니다 것을 의미하지 않는 기계에 로그인 할 수없는 사실로 시작 했죠 해킹 된 ". 인스턴스의 구성 변경으로 인해 발생하거나 인스턴스가 중지/시작 후 IP 주소를 변경했을 수 있습니다.

는 인스턴스에 연결 문제에 대한 표준 솔루션에 StackOverflow에서 검색을 수행하고 (예를 들어 네트워크 연결 & VPC 설정,보기 Get System Log 등을 확인, ssh -v 디버깅을, 보안 그룹을 확인, IP 주소를 다시 확인 연결할 수 있는지 확인).

최악의 경우, 그래, 당신은 할 수 :

  • 인스턴스
  • 분리
  • 다른 EC2 인스턴스에
  • 에 액세스 EBS 볼륨
  • 의 내용을 EBS 볼륨을 부착합니다 EBS 볼륨을 중지
관련 문제