CentOS 7을 실행하는 Linux 서버가 있습니다. 며칠 전에 특정 사용자의 AD 자격 증명을 사용하여 포트 445를 통해 Windows 서버 공유에 계속 연결을 시도하기 시작했다는 사실을 발견했습니다. 사용자 계정 정보는 연결을 시도하는 다른 서버를 관리하는 사람들이 나에게 제공한 것입니다. 2~3초마다 요청이 있습니다 SYN_SENT.
어떤 프로세스가 이 작업을 수행하는지 알아내려고 노력하고 있지만 이에 대한 PID 정보는 표시하지 않습니다 netstat. ss이 원인을 알아내려면 어떻게 해야 합니까?
나는 겪었다이 문서(Turla Penguin 정보) 다음 명령을 실행했습니다.
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
부정적인 결과가 나왔습니다.
답변1
며칠 전, 특정 사용자의 AD 자격 증명을 사용하여 포트 445를 통해 Windows 서버 공유에 계속 연결을 시도하기 시작했다는 사실을 발견했습니다.
보안 패치를 설치하셨나요? CentOS 7은 더 이상 사용되지 않으며 어쨌든 올해 6월 30일에 수명이 종료될 예정입니다.
포트 445는 SMB 서비스이며 시스템(엉뚱한 구성으로 Ansible 또는 Puppet과 같은 프로비저닝 소프트웨어를 사용하지 않는 한)은 특히 특정 사용자 자격 증명을 사용하여 원격 호스트의 서비스에 연결하도록 자동으로 설정하지 않습니다.
2~3초마다 SYN_SENT 요청이 있습니다.
이것은 프로브처럼 보입니다. IIRC Sasser 웜이 그런 일을 합니다.
어떤 프로세스가 이 작업을 수행하는지 알아내려고 노력 중이지만 netstat 및 ss에는 이에 대한 PID 정보가 표시되지 않습니다. 이 원인을 알아내려면 어떻게 해야 합니까?
일반적으로 @ChrisDavies가 말했듯이 침입을 표시하지 않기 위해 도구 자체가 교체되는 경우가 많기 때문에 침입을 알아내기 위해 손상된 시스템의 도구에 의존할 수 없습니다.
네트워크에서 시스템의 연결을 끊은 다음 실제로 손상되었는지 조사하고 이 경우 서버가 처음에 해킹될 수 있는 보안 허점을 찾아야 합니다. 그런 다음 머신을 지우고 최신 OS로 완전히 다시 설치하십시오.