Your Amazon EC2 Abuse Report

Question

I created amazon ec2 instance to run Tomcat application, but Amazon abuse team sent mail with the following log

<<<
AWS Account: ********
Report begin time: 14-12-2017 02:02:28 UTC
Report end time: 14-12-2017 02:03:28 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 294167550
Total packets sent: 291255
Total bytes received: 0
Total packets received: 0

AWS Account: ********
Report begin time: 14-12-2017 02:03:15 UTC
Report end time: 14-12-2017 02:04:15 UTC

Protocol: TCP
Remote IP: ...
Remote port(s): 80

Total bytes sent: 1050081850
Total packets sent: 1039685
Total bytes received: 0
Total packets received: 0

Is it application issue or have I missed some security configuration?

We found one unknown executable application in /tmp as below, after killed this again came up after few seconds. Seems its generating unknown traffic, so we go ahead and powered off servers now.

[root@ip-172-19-24-90 tmp]# file Lixsyn
Lixsyn: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
[root@ip-172-19-24-90 tmp]#

raw   104832 426240 0.0.0.0:6                   0.0.0.0:*                   7           19719/Lixsyn
raw   104832 228096 0.0.0.0:6                   0.0.0.0:*                   7           19719/Lixsyn


root@ip-172-31-40-123 tmp]# ifconfig
eth0      Link encap:Ethernet  HWaddr ********
          inet addr:******** Bcast:172.31.47.255  Mask:255.255.240.0
          inet6 addr: ********/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:9001  Metric:1
          RX packets:1136962 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2081358186 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:860855089 (820.9 MiB)  TX bytes:2130697820190 (1.9 TiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:11338 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11338 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:21689998 (20.6 MiB)  TX bytes:21689998 (20.6 MiB)

Answer 1

AWS sends abuse reports when ec2 instances trigger unknown traffic to servers outside your account.

This can be due to some unknown applications which got inside your ec2 instances due to publicly open ssh/rdp ports.

What you can do here is

1. Configure the security group of your ec2 instances to allow ssh access (port 22) with source ip as your own homr/office ip only
2. Do a netstat command to find what all process ids are accessing the remote ip and port numbers mentioned in thw abuse reports
3. Once you get the process ids, find all processes associated to it using ps -ef command and remove all the related paths
4. Change all user credentials and disable ssh login without password.

Answer to your second question on preventing attacks tomcat servers on ec2.

1. Avoid exposing tomcat manager app on default url/path
2. Use "name" property in server.xml to avoid exposing the. container name and version through http headers
3. Better to put tomcat behind a web layer/proxy like nginx/haproxy to limit impact of bruteforce attacks
4. Use very strong passwords for tomcat users.

Answer 2

“Lixsyn”看起来像是一个linux后门病毒。与app Linux.BackDoor.Gates

无关

Antivirus公司研究员Takashi Katsuki发现了一种新的网络攻击，目标是开源Web服务器应用服务器Apache Tomcat，它具有基于Java的跨平台后门，可用于攻击其他计算机。

被称为“Java.Tomdep”的恶意软件与其他服务器恶意软件不同，并且不是用PHP脚本语言编写的。它基本上是一个基于Java的后门，充当Java Servlet，为Apache Tomcat平台提供恶意功能。

由于Java是一种跨平台语言，受影响的平台包括Linux，Mac OS X，Solaris和大多数受支持的Windows版本。恶意软件在不到一个月前被检测到，到目前为止，受感染机器的数量似乎很低。

  

您可能认为此类攻击仅针对个人   计算机，如台式机和笔记本电脑，但不幸的是，这不是   真正。服务器也可能受到攻击。它们是非常有价值的目标，   因为它们通常是高性能计算机并且全天候运行。

Java蠕虫寻找安装了Apache Tomcat的系统，然后尝试使用密码暴力攻击使用用户名和密码的组合登录。

安装后，恶意软件servlet的行为类似于IRC Bot，并且能够接收来自攻击者的命令。恶意软件能够从系统发送下载文件，创建新进程，更新自身，可以设置SOCKS代理，UDP泛洪，即可以执行大规模DDoS攻击。 他们提到命令和控制服务器已追溯到台湾和卢森堡。我为了避免这种威胁，请确保您的服务器和AV产品已完全修补和更新。

请添加您的建议......

Answer 3

对于那些没有团队阅读所有细节的AWS新手，请注意以下事项：所有数据从您的EC2转移到互联网将在第一次免费1 GB后花费您的钱。< / p>

  

从Amazon EC2到Internet的数据传输

     

前1 GB /月每GB $ 0.00

     

最高10 TB /月每GB 0.09美元

     

下一个40 TB /月每GB 0.085美元

由于EC2并不意味着用作网络托管服务，因此当从EC2到互联网的大量数据下载时，AWS开始向管理员发送滥用电子邮件是及时的。

您应该检查这是否是您的Tomcat Web应用程序的预期流量使用情况。

1. 如果您没有预料到此类流量，例如没有人从互联网外部连接到它，检查网站是否有可能受到损害，例如检查您的安全规则，建立只信任特定IP范围的连接，而不是互联网上的每个人。

2. 如果您预计此类流量，例如有多个用户连接到您的应用程序并生成大量流量，重新查看您的带宽需求并开始考虑CDN（内容交付网络）以减轻所需的负载。因为EC2互联网传出流量并不便宜，因为它不打算进行内容密集下载 请记住，如果您不将此流量移至CDN，DDoS将导致AWS向您发送大量流量账单。

（更新） 如上所述@Abhijit Jagtap，您的服务器可能已被入侵。也许在你打开服务器到互联网的那一刻。僵尸网络可以轻松扫描可能的Web服务版本并执行攻击。很可能您的Web服务（Tomcat，jre / jdk，Web服务器等）版本包含一些漏洞。 您应该重新创建实例，执行所有强化测量。请不要打扰“清理”，这只是浪费时间。如果您想稍后进行一些取证，可以为受感染的EC2实例创建快照。