Как отслеживать определенные журналы в Ubuntu? (ЦПУ)

У нас есть этот экземпляр EC2: T2.medium, работающий с apache, с 4 виртуальными хостами (4 сайта). Иногда из ниоткуда ЦП достигает очень высоких уровней, возможно, атака.

Я видел, что некоторые из наших файлов Wordpress были изменены.

Как я могу проверить, кто писал в эти файлы? Как я могу проверить журналы ЦП, чтобы увидеть, какой процесс влияет на него? Существуют ли какие-либо метрики CloudWatch, которые я мог бы использовать?

Мы немного усилили защиту сервера: обновили, запустили AWS Inspector, lynis, изменили конфигурационный файл ssh.

Есть ли способ увидеть, кто и как им удалось войти и изменить эти файлы Wordpress?

А какие еще практики закаливания вы рекомендуете?

Здесь есть несколько вопросов.

Кто писал в файлы

Операционная система не регистрирует эту информацию, но есть некоторые подсказки:

• Дата модификации
• Права доступа к файлам

Используйте дату изменения файлов, чтобы сузить поиск журналов доступа Apache. Проверьте хотя бы на что-нибудь ПУБЛИКОВАТЬ запросы и логины примерно того времени. Например, это покажет все попытки входа в систему:

zgrep 'POST /wp-login.php' /var/log/apache2/*доступ*

Затем вы можете отфильтровать вывод по временному диапазону, который вы получили из времени модификации файлов.

Если файлы, которые были изменены, доступны для записи только определенным системным пользователям, то вы можете быть достаточно уверены, что они были изменены этими системными пользователями.

Какие процессы привязывают ЦП

Эта информация не регистрируется по умолчанию. Если нецелесообразно пытаться контролировать сервер «вживую» — например, с помощью top — тогда вы можете использовать различные инструменты ведения журнала. Вот вопрос с ошибкой сервера где для этой цели рекомендуются различные инструменты.

Определение того, взломали ли вас

Это более обширная тема, но, поскольку вы упомянули об изменениях в файлах WordPress, я бы начал с определения того, являются ли эти изменения вредоносными. Запустите сканер вредоносных программ WordPress и/или найдите вредоносные шаблоны, такие как оценка (base64_decode (, веб-оболочки php и так далее. Если вы не уверены, будьте настойчивы, будьте тщательны, задавайте дополнительные вопросы, если нужно.

Определение того, как злоумышленник получил доступ

Если вы достаточно уверены, что сайт или сайты были взломаны, вы можете попытаться определить, как злоумышленник получил доступ. Это могло произойти двумя наиболее вероятными способами: через вход в учетную запись администратора или через уязвимость. В большинстве случаев его трудно определить с высокой степенью достоверности.Но если вы запускали программное обеспечение с известной уязвимостью, особенно с общедоступным эксплойтом, позволяющим удаленное выполнение кода, то это очень вероятная возможность. И если пользователь-администратор WordPress имеет слабые учетные данные или их учетные данные просочились, то это очень вероятная возможность.

Дальнейшее закаливание

Если вы считаете, что сервер был скомпрометирован, вам следует обратиться к канонический ответ по теме.

Это не полный ответ, он дополняет ответ sceox.

Вы должны посмотреть на укрепление Wordpress, и Права доступа к файлу вордпресс.

У меня настроено так:

• Один пользователь/группа владеет файлами
• PHP является частью группы, которая может читать файлы Wordpress, включая плагины/темы/и т. д., но не может записывать в них. Он может записывать в папку загрузки, чтобы изображения можно было загружать с помощью графического интерфейса Wordpress. Из-за этого кому-либо в Интернете очень сложно скомпрометировать файлы Wordpress.
• У меня есть скрипт, который использует Командная строка Wordpress делать обновления Wordpress и плагинов в 2 часа ночи.
• Любые новые плагины должны быть установлены с Wordpress CLI. Это не так удобно, но НАМНОГО надежнее.

Вот скрипт, который я использую, который работает на задании cron.

#!/бин/баш
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

эхо
echo Обновление Wordpress и запуск скрипта разрешений
echo "$(date) Начато обновление и резервное копирование Wordpress" >> /var/log/me/my-wordpress-upgrades 2>&1

# Функция для обновления wordpress
функция upgrade_wordpress() {
    # настроить папки в нужных форматах
    директор=$1
    загрузки=$1/wp-контент/загрузки

    echo Обновление ядра Wordpress, плагинов, тем в ${dir}
    sudo -H -u www-user bash -c "wp core update --path=$dir"
    sudo -H -u www-user bash -c "обновление плагина wp --all --path=$dir"
    sudo -H -u www-user bash -c "обновление темы wp --all --path=$dir"

    echo Установка разрешений wordpress для 755 файлов и 644 папок
    найти ${dir} -type d -exec chmod 755 {} \;
    find ${dir} -type f -exec chmod 644 {} \;
    chmod 440 ${каталог}/wp-config.php

    echo Предоставление веб-серверу возможности записи в папку для загрузки ${uploads}
    chown -R www-данные:www-данные ${загрузки}

    echo Обновление Wordpress за 1 доллар завершено
    эхо
    эхо
}


echo Настройка разрешений /var/www для www-user:www-data
chown -R www-пользователь:www-данные /var/www/

# Запускать обновление Wordpress для каждой установки WordPress
update_wordpress /var/www/blog1
update_wordpress /var/www/blog2