Temos um servidor Linux rodando CentOS 7. Há alguns dias, descobrimos que ele começou a tentar continuamente se conectar a um compartilhamento de servidor Windows através da porta 445 usando as credenciais AD de um determinado usuário. As informações da conta do usuário foram fornecidas pelas pessoas que gerenciam o outro servidor (ao qual a conexão está sendo tentada). A cada 2-3 segundos há uma SYN_SENTsolicitação.
Estou tentando descobrir qual processo está fazendo isso, mas netstatnão ssmostro nenhuma informação de PID para isso. O que posso fazer para descobrir a causa disso?
Eu atravesseiesse documento(sobre Turla Penguin) e executei este comando:
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
que deu negativo.
Responder1
Há alguns dias, descobrimos que ele começou a tentar continuamente se conectar a um compartilhamento de servidor Windows através da porta 445 usando as credenciais do AD de um determinado usuário.
Você está instalando patches de segurança? O CentOS 7 está obsoleto e, de qualquer forma, chegará ao fim de sua vida útil em 30 de junho deste ano.
A porta 445 é o serviço SMB, e os sistemas (a menos que você use um software de provisionamento como Ansible ou Puppet com uma configuração confusa) não os configuram espontaneamente para se conectarem a um serviço em um host remoto, especialmente usando credenciais de usuário específicas.
A cada 2-3 segundos há uma solicitação SYN_SENT.
Isto parece uma sonda. IIRC, o worm Sasser, faz isso.
Estou tentando descobrir qual processo está fazendo isso, mas netstat e ss não mostram nenhuma informação de PID para isso. O que posso fazer para descobrir a causa disso?
Em geral, como disse @ChrisDavies, você não pode confiar nas ferramentas de uma máquina que foi comprometida para descobrir a intrusão, porque muitas vezes as próprias ferramentas foram substituídas para não mostrar a intrusão.
Você deve desconectar a máquina da rede, depois investigar se ela foi realmente comprometida e, neste caso, encontrar a falha de segurança que permitiu que o servidor fosse hackeado. Em seguida, limpe a máquina e faça uma reinstalação limpa com um sistema operacional moderno.