ISPに引っ張られて、マシンに数十のアウトバウンドSSH接続を確立させました。マシンを追跡し、ネットワークから外しました。問題は、同様の運命に苦しむ可能性のある同一の構成を持つ他のマシンがいくつかあることです。
Tcpdumpを使用してアウトバウンド接続の試行を確認できますが、これらの接続試行を行うスクリプトまたはプロセスを追跡するのに問題があります。私はnetstat -plunt
、ss -tp
、lsof
およびさまざまなコマンドラインユーティリティを使用しようとしましたが、問題のあるプロセスを入手できませんでした。このような侵害されたボックスでプロセスとアプリケーションを追跡することについて何かアドバイスはありますか?
Sudo netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 1339/redis-server 1
tcp 0 0 0.0.0.0:5355 0.0.0.0:* LISTEN 1008/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1024/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1413/cupsd
tcp6 0 0 :::5355 :::* LISTEN 1008/systemd-resolv
tcp6 0 0 :::4949 :::* LISTEN 1022/Perl
tcp6 0 0 :::22 :::* LISTEN 1024/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1413/cupsd
udp 0 0 0.0.0.0:37790 0.0.0.0:* 938/avahi-daemon: r
udp 0 0 0.0.0.0:54446 0.0.0.0:* 1364/openvpn
udp 0 0 0.0.0.0:5353 0.0.0.0:* 938/avahi-daemon: r
udp 0 0 0.0.0.0:5355 0.0.0.0:* 1008/systemd-resolv
udp 0 0 127.0.0.53:53 0.0.0.0:* 1008/systemd-resolv
udp 0 0 0.0.0.0:631 0.0.0.0:* 1414/cups-browsed
udp6 0 0 :::53487 :::* 938/avahi-daemon: r
udp6 0 0 :::5353 :::* 938/avahi-daemon: r
udp6 0 0 :::5355 :::* 1008/systemd-resolv
問題のあるプロセスを確認できないルートキットをインストールできると思いますか?
もう1つのアイデアは、コマンドwatch
を使用して、問題のあるプロセスを特定することです。
watch -d 'lsof -i tcp:22'
watch -d
は違いを強調しています。 2秒ごとにコマンドを実行します。
lsof -i tcp:22
は、ポート22でTCP接続を使用するプロセスのリストを提供します。
ルートキットの疑いがある場合は、busyboxをコンパイルし、それを使用してプロセスをチェックし、ファイルを開くことができます。