CentOS 7 を実行している Linux サーバーがあります。数日前、特定のユーザーの AD 資格情報を使用して、ポート 445 経由で Windows サーバー共有への接続を継続的に試行し始めたことがわかりました。ユーザー アカウント情報は、(接続が試行されている) 他のサーバーを管理している人々から提供されました。2 ~ 3 秒ごとにリクエストがありますSYN_SENT。
どのプロセスがこれを実行しているのかを調べようとしていますが、これに関する PID 情報が表示されませnetstatんss。原因を突き止めるにはどうすればよいでしょうか?
私は通り抜けたこのドキュメント(Turla Penguin について) 次のコマンドを実行しました:
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
結果は陰性でした。
答え1
数日前、特定のユーザーの AD 資格情報を使用して、ポート 445 経由で Windows サーバー共有への接続を継続的に試行し始めたことが判明しました。
セキュリティ パッチをインストールしていますか? CentOS 7 は時代遅れで、いずれにしても今年の 6 月 30 日にサポート終了となります。
ポート 445 は SMB サービスであり、システム (Ansible や Puppet などのプロビジョニング ソフトウェアを誤った構成で使用しない限り) は、特に特定のユーザー資格情報を使用して、リモート ホスト上のサービスに接続するように自動的に設定することはありません。
2〜3 秒ごとに SYN_SENT 要求が行われます。
これはプローブのように見えます。私の記憶が正しければ、Sasser ワームがそれを実行します。
どのプロセスがこれを実行しているのかを調べようとしていますが、netstat と ss ではこれに関する PID 情報が表示されません。原因を調べるにはどうすればよいでしょうか?
一般的に、@ChrisDavies が言ったように、侵入を発見するために、侵害されたマシン上のツールに頼ることはできません。なぜなら、侵入が表示されないようにツール自体が置き換えられていることが多いからです。
マシンをネットワークから切断し、実際に侵害されたかどうかを調査して、この場合は、そもそもサーバーがハッキングされる原因となったセキュリティホールを見つけます。その後、マシンを消去し、最新の OS でクリーン再インストールを実行します。