SSH in uscita. Rintracciare il processo

2

Sono stato fermato dal mio ISP al lavoro per avere una macchina che creava dozzine di connessioni SSH in uscita. Ho rintracciato la macchina e l'ho tolta dalla rete. Il problema è che ci sono molte altre macchine con configurazioni identiche che potenzialmente potrebbero subire un destino simile.

Posso vedere i tentativi di connessione in uscita usando tcpdump ma sto avendo problemi a cercare di rintracciare lo script o il processo che fa questi tentativi di connessione. Ho cercato di utilizzare netstat -plunt , ss -tp , lsof e vari programmi di utilità della riga di comando, ma non sono stato in grado di generare il processo incriminato. Qualcuno ha qualche consiglio su come rintracciare processi e applicazioni su scatole compromesse come questa?

sudo netstat -plunt

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 127.0.0.1:6379          0.0.0.0:*               LISTEN      1339/redis-server 1 
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      1008/systemd-resolv 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1024/sshd           
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1413/cupsd          
tcp6       0      0 :::5355                 :::*                    LISTEN      1008/systemd-resolv 
tcp6       0      0 :::4949                 :::*                    LISTEN      1022/perl           
tcp6       0      0 :::22                   :::*                    LISTEN      1024/sshd           
tcp6       0      0 ::1:631                 :::*                    LISTEN      1413/cupsd          
udp        0      0 0.0.0.0:37790           0.0.0.0:*                           938/avahi-daemon: r 
udp        0      0 0.0.0.0:54446           0.0.0.0:*                           1364/openvpn        
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           938/avahi-daemon: r 
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           1008/systemd-resolv 
udp        0      0 127.0.0.53:53           0.0.0.0:*                           1008/systemd-resolv 
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1414/cups-browsed   
udp6       0      0 :::53487                :::*                                938/avahi-daemon: r 
udp6       0      0 :::5353                 :::*                                938/avahi-daemon: r 
udp6       0      0 :::5355                 :::*                                1008/systemd-resolv 
    
posta dcos 02.07.2018 - 13:04
fonte

1 risposta

1

Pensi di poter installare un rootkit che non ti consente di vedere il processo incriminato?

Un'altra idea è usare il comando watch , per cercare di individuare il processo incriminato.

watch -d 'lsof -i tcp:22'

watch -d evidenzia le differenze. Esegue il comando ogni 2 secondi.

lsof -i tcp:22 fornisce un elenco di processi che utilizzano connessioni TCP sulla porta 22.

Se si sospetta un rootkit, è possibile compilare busybox e utilizzarlo per controllare i processi e aprire i file.

    
risposta data 04.09.2018 - 15:54
fonte

Leggi altre domande sui tag