Tenemos un servidor Linux que ejecuta CentOS 7. Hace unos días, descubrimos que comenzó a intentar conectarse continuamente a un servidor compartido de Windows a través del puerto 445 utilizando las credenciales AD de un determinado usuario. La información de la cuenta de usuario me la proporcionaron las personas que administran el otro servidor (al cual se intenta la conexión). Cada 2-3 segundos hay una SYN_SENTsolicitud.
Estoy tratando de averiguar qué proceso está haciendo esto, pero netstatno ssmuestro ninguna información PID para esto. ¿Qué puedo hacer para descubrir la causa de esto?
Fui a traveseste documento(sobre Turla Penguin) y ejecuté este comando:
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
que resultó negativo.
Respuesta1
Hace unos días, descubrimos que comenzó a intentar continuamente conectarse a un servidor compartido de Windows a través del puerto 445 utilizando las credenciales AD de un determinado usuario.
¿Has estado instalando parches de seguridad? CentOS 7 está obsoleto y, de todos modos, llegará al final de su vida útil el 30 de junio de este año.
El puerto 445 es el servicio SMB y los sistemas (a menos que use un software de aprovisionamiento como Ansible o Puppet con una configuración desordenada) no los configuran espontáneamente para conectarse a un servicio en un host remoto, especialmente usando credenciales de usuario específicas.
Cada 2-3 segundos hay una solicitud SYN_SENT.
Esto parece una sonda. IIRC, el gusano Sasser hace eso.
Estoy tratando de averiguar qué proceso está haciendo esto, pero netstat y ss no muestran ninguna información PID para esto. ¿Qué puedo hacer para descubrir la causa de esto?
En general, como dijo @ChrisDavies, no se puede confiar en las herramientas de una máquina que ha sido comprometida para descubrir la intrusión, porque a menudo las herramientas mismas han sido reemplazadas para no mostrar la intrusión.
Debe desconectar la máquina de la red, luego investigar para ver si realmente estaba comprometida y, en este caso, encontrar el agujero de seguridad que permitió que el servidor fuera pirateado en primer lugar. Luego borre la máquina y realice una reinstalación limpia con un sistema operativo moderno.