Làm cách nào để theo dõi nhật ký cụ thể trong Ubuntu? (CPU)

Chúng tôi có phiên bản EC2 này: T2.medium, chạy apache, với 4 máy chủ ảo (4 trang web). Đôi khi, không biết từ đâu, CPU đạt đến mức rất cao, có thể là một cuộc tấn công.

Tôi đã thấy một số tệp wordpress của chúng tôi đã bị sửa đổi.

Làm cách nào tôi có thể kiểm tra ai đã viết trong các tệp đó? Làm cách nào tôi có thể kiểm tra nhật ký của CPU để xem quy trình nào đã ảnh hưởng đến nó? Có bất kỳ số liệu đồng hồ đám mây nào tôi có thể sử dụng không?

Chúng tôi đã và đang thực hiện một số biện pháp bảo mật cho máy chủ: cập nhật, chạy AWS Inspector, lynis, sửa đổi tệp cấu hình ssh.

Có cách nào để xem ai và làm cách nào họ quản lý để nhập và sửa đổi các tệp wordpress đó không?

Và những thực hành làm cứng nào khác mà bạn đề xuất?

Có một số câu hỏi ở đây.

Ai đã được ghi vào các tập tin

Hệ điều hành không ghi thông tin này, nhưng có một số manh mối:

• Ngày sửa đổi
• Quyền đối với tệp

Sử dụng ngày sửa đổi của tệp để thu hẹp tìm kiếm nhật ký truy cập Apache của bạn. Kiểm tra ít nhất cho bất kỳ BƯU KIỆN yêu cầu và đăng nhập từ khoảng thời gian đó. Ví dụ: điều này sẽ hiển thị tất cả các lần đăng nhập:

zgrep 'POST /wp-login.php' /var/log/Apache2/*access*

Sau đó, bạn có thể lọc đầu ra theo phạm vi thời gian bạn nhận được từ thời gian sửa đổi của tệp.

Nếu các tệp đã được sửa đổi chỉ có thể ghi được bởi một số người dùng hệ thống nhất định, thì bạn có thể chắc chắn một cách hợp lý rằng chúng đã được sửa đổi bởi những người dùng hệ thống đó.

(Những) tiến trình nào đang cố định CPU

Thông tin này không được ghi lại theo mặc định. Nếu việc cố gắng giám sát máy chủ "trực tiếp" -- chẳng hạn như với top -- thì có nhiều công cụ ghi nhật ký khác nhau mà bạn có thể sử dụng là không thực tế. Đây là một câu hỏi lỗi máy chủ nơi các công cụ khác nhau được khuyến nghị cho mục đích này.

Xác định xem bạn có bị hack hay không

Đây là một chủ đề lớn hơn, nhưng nơi tôi sẽ bắt đầu, vì bạn đã đề cập đến các sửa đổi đối với các tệp WordPress, là để xác định xem những sửa đổi này có độc hại hay không. Chạy trình quét phần mềm độc hại WordPress và/hoặc tìm kiếm các mẫu độc hại, chẳng hạn như eval(base64_decode(, vỏ web php, v.v. Nếu bạn không chắc chắn, hãy kiên trì, kỹ lưỡng, đăng thêm câu hỏi nếu bạn cần.

Xác định cách kẻ tấn công giành được quyền truy cập

Nếu bạn chắc chắn một cách hợp lý rằng trang web hoặc nhiều trang web đã bị tấn công, bạn có thể thử xác định cách kẻ tấn công giành được quyền truy cập. Hai cách rất có thể điều này có thể xảy ra là thông qua đăng nhập vào tài khoản người dùng quản trị viên hoặc thông qua lỗ hổng bảo mật. Trong hầu hết các trường hợp, rất khó để xác định với mức độ chắc chắn cao.Nhưng nếu bạn đang chạy phần mềm có lỗ hổng đã biết, đặc biệt là phần mềm có khai thác công khai và cho phép thực thi mã từ xa, thì đây là khả năng rất có thể xảy ra. Và nếu người dùng quản trị viên WordPress có thông tin đăng nhập yếu hoặc thông tin đăng nhập của họ đã bị rò rỉ, thì đây là một khả năng rất có thể xảy ra.

cứng hơn nữa

Nếu bạn tin rằng máy chủ đã bị xâm phạm, thì bạn nên tham khảo câu trả lời kinh điển về chủ đề này.

Đây không phải là một câu trả lời đầy đủ, nó bổ sung cho câu trả lời của sceox.

bạn nên nhìn vào làm cứng Wordpress, và Quyền truy cập tệp Wordpress.

Tôi có những thứ được thiết lập như thế này:

• Một người dùng/nhóm sở hữu các tệp
• PHP là một phần của nhóm có thể đọc các tệp Wordpress bao gồm plugin/chủ đề/v.v., nhưng không thể ghi vào chúng. Nó có thể ghi vào thư mục tải lên để hình ảnh có thể được tải lên bằng GUI Wordpress. Điều này khiến mọi thứ trên internet rất khó xâm phạm các tệp Wordpress
• Tôi có một tập lệnh sử dụng WordpressCLI để cập nhật Wordpress và các plugin lúc 2 giờ sáng.
• Mọi plugin mới phải được cài đặt với Wordpress CLI. Nó không thuận tiện bằng, nhưng nó an toàn hơn RẤT NHIỀU.

Đây là tập lệnh tôi sử dụng, chạy trên công việc định kỳ

#!/bin/bash
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

tiếng vang
echo Cập nhật Wordpress và Quyền Script Bắt đầu
echo "$(date) Cập nhật và sao lưu Wordpress đã bắt đầu" >> /var/log/me/my-wordpress-upgrades 2>&1

# Chức năng nâng cấp wordpress
chức năng nâng cấp_wordpress() {
    # thiết lập thư mục theo định dạng cần thiết
    dir=$1
    uploads=$1/wp-content/uploads

    echo Nâng cấp lõi, plugin, chủ đề của Wordpress trong ${dir}
    sudo -H -u www-user bash -c "cập nhật lõi wp --path=$dir"
    sudo -H -u www-user bash -c "cập nhật plugin wp --all --path=$dir"
    sudo -H -u www-user bash -c "cập nhật chủ đề wp --all --path=$dir"

    echo Đặt quyền wordpress thành 755 tệp và 644 thư mục
    tìm ${dir} -type d -exec chmod 755 {} \;
    tìm ${dir} -type f -exec chmod 644 {} \;
    chmod 440 ${dir}/wp-config.php

    echo Làm cho thư mục tải lên ${uploads} có thể ghi được bởi máy chủ web
    chown -R www-data:www-data ${uploads}

    echo Nâng cấp Wordpress với $1 hoàn tất
    tiếng vang
    tiếng vang
}


echo Cài đặt quyền /var/www cho www-user:www-data
chown -R www-user:www-data /var/www/

# Chạy cập nhật Wordpress cho mỗi lần cài đặt wordpress
nâng cấp_wordpress /var/www/blog1
nâng cấp_wordpress /var/www/blog2