我們有一台運行 CentOS 7 的 Linux 伺服器。使用者帳戶資訊是由管理其他伺服器(正在嘗試連線)的人員提供給我的。每 2-3 秒就有一個SYN_SENT請求。
我試圖找出哪個進程正在執行此操作,但netstat沒有ss顯示任何 PID 資訊。我該怎麼做才能找出這個問題的原因?
我經歷了這個文件(關於 Turla Penguin)並執行以下命令:
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
結果是否定的。
答案1
幾天前,我們發現它開始不斷嘗試使用特定用戶的 AD 憑證透過連接埠 445 連接到 Windows 伺服器共用。
您是否安裝了安全性修補程式? CentOS 7 已經過時,並且將於今年 6 月 30 日結束生命週期。
連接埠 445 是 SMB 服務,系統(除非您使用 Ansible 或 Puppet 等設定軟體且設定混亂)不會自動將其設定為連接到遠端主機上的服務,尤其是使用特定的使用者憑證。
每 2-3 秒就有一個 SYN_SENT 請求。
這看起來像一個探針。 IIRC 震蕩波蠕蟲病毒就是這麼做的。
我試圖找出哪個進程正在執行此操作,但 netstat 和 ss 沒有顯示任何 PID 資訊。我該怎麼做才能找出這個問題的原因?
一般來說,正如 @ChrisDavies 所說,您不能依靠已受到損害的機器上的工具來找出入侵情況,因為工具本身通常已被替換以不顯示入侵。
您應該斷開電腦與網路的連接,然後調查它是否確實受到損害,在這種情況下,首先找到導致伺服器被駭客攻擊的安全漏洞。然後清理機器並使用現代作業系統進行乾淨的重新安裝。