У нас есть сервер Linux, работающий под управлением CentOS 7. Несколько дней назад мы обнаружили, что он начал постоянно пытаться подключиться к общему ресурсу сервера Windows через порт 445, используя учетные данные определенного пользователя AD. Данные учетной записи пользователя были предоставлены мне людьми, управляющими другим сервером (к которому осуществляется попытка подключения). Каждые 2-3 секунды идет запрос SYN_SENT.
Я пытаюсь выяснить, какой процесс это делает, но netstatне ssвижу никакой информации PID для этого. Что я могу сделать, чтобы выяснить причину этого?
я прошел сквозьэтот документ(о Turla Penguin) и выполнил эту команду:
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
который оказался отрицательным.
решение1
Несколько дней назад мы обнаружили, что он начал постоянно пытаться подключиться к общему ресурсу сервера Windows через порт 445, используя учетные данные AD определенного пользователя.
Вы устанавливали исправления безопасности? CentOS 7 устарел и в любом случае его поддержка закончится 30 июня этого года.
Порт 445 — это служба SMB, и системы (если только вы не используете программное обеспечение для подготовки, такое как Ansible или Puppet с неправильной конфигурацией) не настраивают их спонтанно для подключения к службе на удаленном хосте, особенно с использованием определенных учетных данных пользователя.
Каждые 2-3 секунды приходит запрос SYN_SENT.
Похоже на зонд. Я так понимаю, червь Sasser это делает.
Я пытаюсь выяснить, какой процесс это делает, но netstat и ss не показывают никакой информации PID для этого. Что я могу сделать, чтобы выяснить причину этого?
В целом, как сказал @ChrisDavies, нельзя полагаться на инструменты на взломанной машине, чтобы узнать о вторжении, поскольку зачастую сами инструменты заменяются, а не обнаруживают вторжение.
Вам следует отключить машину от сети, затем провести расследование, чтобы убедиться, что она действительно была скомпрометирована, и в этом случае найти дыру в безопасности, которая позволила взломать сервер в первую очередь. Затем очистите машину и выполните чистую переустановку с современной ОС.