CentOS 7を実行しているLinuxサーバーがあります。数日前、私たちはユーザーのAD資格情報を使用してポート445を介してWindowsサーバー共有に繰り返し接続しようとしたことを発見しました。ユーザーアカウント情報は、(接続を試みる)他のサーバーを管理している人が私に提供したものです。 2〜3秒ごとに要求がありますSYN_SENT
。
どのプロセスがこれを実行しているのかを調べようとしていますが、PID情報は表示されませnetstat
ん。ss
この問題の原因を見つけるにはどうすればよいですか?
私は経験したこのファイル(Turla Penguinについて)次のコマンドを実行します。
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
結果は否定的です。
答え1
数日前、私たちは特定のユーザーのAD資格情報を使用してポート445を介してWindowsサーバー共有に繰り返し接続しようとしたことを発見しました。
セキュリティパッチをインストールしましたか? CentOS 7は廃止され、今年6月30日に寿命は終了します。
ポート445はSMBサービスであり、システム(AnsibleやPuppetなどの構成ソフトウェアを使用し、構成が混乱しない限り)は、特定のユーザー資格情報を使用してリモートホスト上のサービスに接続するように特に設定しません。
2〜3秒ごとにSYN_SENT要求があります。
これはプローブのように見えます。 IIRC Sasserワームはまさにそのようなことをしました。
どのプロセスがこれを行うかを調べようとしていますが、netstatとssにPID情報は表示されません。この問題の原因を見つけるにはどうすればよいですか?
通常、@ChrisDaviesが言ったように、ツール自体は侵入を表示しないように置き換えられることが多いため、破損したシステムのツールに依存して侵入を見つけることはできません。
コンピュータをネットワークから切断し、実際に損傷しているかどうかを調べる必要があります。この場合は、まずサーバーをハッキングする可能性があるセキュリティ上の欠陥を見つけます。その後、マシンを清掃し、最新のオペレーティングシステムで完全に再インストールします。