Wir haben einen Linux-Server mit CentOS 7. Vor ein paar Tagen haben wir festgestellt, dass er ständig versucht, über Port 445 eine Verbindung zu einer freigegebenen Windows-Server-Instanz herzustellen, und zwar mit den AD-Anmeldeinformationen eines bestimmten Benutzers. Die Benutzerkontoinformationen habe ich von den Leuten erhalten, die den anderen Server verwalten (zu dem die Verbindung versucht wird). Alle 2-3 Sekunden gibt es eine SYN_SENTAnfrage.
Ich versuche herauszufinden, welcher Prozess dies verursacht, aber netstates sswerden keine PID-Informationen dazu angezeigt. Was kann ich tun, um die Ursache dafür herauszufinden?
Ich ging durchdieses Dokument(über Turla Penguin) und führte diesen Befehl aus:
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
welches negativ ausfiel.
Antwort1
Vor einigen Tagen haben wir festgestellt, dass ständig versucht wird, mit den AD-Anmeldeinformationen eines bestimmten Benutzers über Port 445 eine Verbindung zu einer Windows-Serverfreigabe herzustellen.
Haben Sie Sicherheitspatches installiert? CentOS 7 ist veraltet und wird am 30. Juni dieses Jahres ohnehin das Ende seines Lebenszyklus erreichen.
Port 445 ist der SMB-Dienst, und Systeme (es sei denn, Sie verwenden eine Bereitstellungssoftware wie Ansible oder Puppet mit einer fehlerhaften Konfiguration) richten sie nicht spontan für die Verbindung mit einem Dienst auf einem Remote-Host ein, insbesondere nicht unter Verwendung bestimmter Benutzeranmeldeinformationen.
Alle 2-3 Sekunden erfolgt eine SYN_SENT Anfrage.
Das sieht aus wie eine Sonde. Soweit ich mich erinnere, macht das der Sasser-Wurm.
Ich versuche herauszufinden, welcher Prozess dies verursacht, aber netstat und ss zeigen keine PID-Informationen dazu an. Was kann ich tun, um die Ursache dafür herauszufinden?
Im Allgemeinen können Sie sich, wie @ChrisDavies sagte, nicht darauf verlassen, dass die Tools auf einem kompromittierten Computer den Einbruch erkennen, da die Tools selbst häufig so ausgetauscht wurden, dass sie den Einbruch nicht erkennen.
Sie sollten die Maschine vom Netzwerk trennen und dann untersuchen, ob sie wirklich kompromittiert wurde. In diesem Fall sollten Sie die Sicherheitslücke finden, die den Hackerangriff auf den Server überhaupt erst möglich gemacht hat. Löschen Sie dann die Maschine und führen Sie eine saubere Neuinstallation mit einem modernen Betriebssystem durch.