如何使用 Tomcat7 和 mySQL 保护 Amazon EC2

Question

我对 EC2 很陌生。我安装了 Tomcat 7 和 MySQL。我设置的安全组是

自定义 TCP 规则 TCP 8080

SSH TCP 22

MYSQL TCP 3306

对于出站 它适用于所有流量。

我收到了来自亚马逊的报告，内容如下

实例 ID：i-1e42db06 AWS ID：772517067349 报告的活动：DoS

我应该怎么做才能阻止它？

我还收到了如下账单 每 GB 0.090 美元 - 前 10 TB/月的数据传输超出全球免费套餐 637.521 GB

请告诉我在 EC2 中保护我的实例的步骤

更新：来自亚马逊的电子邮件 我们收到了一份报告，表明您的 EC2 实例

AWS ID：772517067349

实例 ID：i-1e42db06 IP地址：172.31.25.202

涉及类似于针对远程主机的拒绝服务攻击的活动；请查看下面提供的有关活动的信息。

请采取措施停止报告的活动，并直接回复此电子邮件，详细说明您已采取的纠正措施。如果您认为这些报告中描述的活动不属于滥用行为，请回复此电子邮件并提供您的使用案例的详细信息。

如果您不知道此活动，则您的环境可能已被外部攻击者破坏，或者某个漏洞允许您的计算机以非预期方式使用

Answer 1

检查 EC2 中的实例监控面板以查看您的流量，并检查您服务器中的日志以查看流量​​是什么类型。

Mysql 刚刚出现了一个零日漏洞，您可能容易受到攻击，而 SSH 最近也出现了很多严重的错误，因此您不仅需要在这里考虑防火墙设置，还需要确保安全这些端口背后的服务也是如此。

除此之外，如果您部署在 tomcat 中的 Web 应用程序包含漏洞，您将面临各种攻击，其中许多会反映在流量增加上。当然，Tomcat 本身也必须是最新的并得到适当的保护。

可能发生的事情太多了，无法一一列举，但如果您的问题中所说的“转出”是指出站流量，那么您可能已经受到攻击，并且服务器成为僵尸网络的一部分。上面不清楚他们是向您报告您正在遭受 DoS 还是您正在尝试 DoS。