web-dev-qa-db-ja.com

SSHアウトバウンド。プロセスを追跡する

ISPに引っ張られて、マシンに数十のアウトバウンドSSH接続を確立させました。マシンを追跡し、ネットワークから外しました。問題は、同様の運命に苦しむ可能性のある同一の構成を持つ他のマシンがいくつかあることです。

Tcpdumpを使用してアウトバウンド接続の試行を確認できますが、これらの接続試行を行うスクリプトまたはプロセスを追跡するのに問題があります。私はnetstat -pluntss -tplsofおよびさまざまなコマンドラインユーティリティを使用しようとしましたが、問題のあるプロセスを入手できませんでした。このような侵害されたボックスでプロセスとアプリケーションを追跡することについて何かアドバイスはありますか?

Sudo netstat -plunt

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 127.0.0.1:6379          0.0.0.0:*               LISTEN      1339/redis-server 1 
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      1008/systemd-resolv 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1024/sshd           
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1413/cupsd          
tcp6       0      0 :::5355                 :::*                    LISTEN      1008/systemd-resolv 
tcp6       0      0 :::4949                 :::*                    LISTEN      1022/Perl           
tcp6       0      0 :::22                   :::*                    LISTEN      1024/sshd           
tcp6       0      0 ::1:631                 :::*                    LISTEN      1413/cupsd          
udp        0      0 0.0.0.0:37790           0.0.0.0:*                           938/avahi-daemon: r 
udp        0      0 0.0.0.0:54446           0.0.0.0:*                           1364/openvpn        
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           938/avahi-daemon: r 
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           1008/systemd-resolv 
udp        0      0 127.0.0.53:53           0.0.0.0:*                           1008/systemd-resolv 
udp        0      0 0.0.0.0:631             0.0.0.0:*                           1414/cups-browsed   
udp6       0      0 :::53487                :::*                                938/avahi-daemon: r 
udp6       0      0 :::5353                 :::*                                938/avahi-daemon: r 
udp6       0      0 :::5355                 :::*                                1008/systemd-resolv 
2
dcos

問題のあるプロセスを確認できないルートキットをインストールできると思いますか?

もう1つのアイデアは、コマンドwatchを使用して、問題のあるプロセスを特定することです。

watch -d 'lsof -i tcp:22'

watch -dは違いを強調しています。 2秒ごとにコマンドを実行します。

lsof -i tcp:22は、ポート22でTCP接続を使用するプロセスのリストを提供します。

ルートキットの疑いがある場合は、busyboxをコンパイルし、それを使用してプロセスをチェックし、ファイルを開くことができます。

1
Hugo Glez