Sono stato fermato dal mio ISP al lavoro per avere una macchina che creava dozzine di connessioni SSH in uscita. Ho rintracciato la macchina e l'ho tolta dalla rete. Il problema è che ci sono molte altre macchine con configurazioni identiche che potenzialmente potrebbero subire un destino simile.
Posso vedere i tentativi di connessione in uscita usando tcpdump ma sto avendo problemi a cercare di rintracciare lo script o il processo che fa questi tentativi di connessione. Ho cercato di utilizzare netstat -plunt
, ss -tp
, lsof
e vari programmi di utilità della riga di comando, ma non sono stato in grado di generare il processo incriminato. Qualcuno ha qualche consiglio su come rintracciare processi e applicazioni su scatole compromesse come questa?
sudo netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 1339/redis-server 1
tcp 0 0 0.0.0.0:5355 0.0.0.0:* LISTEN 1008/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1024/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1413/cupsd
tcp6 0 0 :::5355 :::* LISTEN 1008/systemd-resolv
tcp6 0 0 :::4949 :::* LISTEN 1022/perl
tcp6 0 0 :::22 :::* LISTEN 1024/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1413/cupsd
udp 0 0 0.0.0.0:37790 0.0.0.0:* 938/avahi-daemon: r
udp 0 0 0.0.0.0:54446 0.0.0.0:* 1364/openvpn
udp 0 0 0.0.0.0:5353 0.0.0.0:* 938/avahi-daemon: r
udp 0 0 0.0.0.0:5355 0.0.0.0:* 1008/systemd-resolv
udp 0 0 127.0.0.53:53 0.0.0.0:* 1008/systemd-resolv
udp 0 0 0.0.0.0:631 0.0.0.0:* 1414/cups-browsed
udp6 0 0 :::53487 :::* 938/avahi-daemon: r
udp6 0 0 :::5353 :::* 938/avahi-daemon: r
udp6 0 0 :::5355 :::* 1008/systemd-resolv