我做了一些强化,在防火墙中添加了一堆规则,删除了 NTP 权限并限制了端口 123。但是现在,当查看正在运行的连接时,我在 lsof 命令中得到了一个奇怪的条目。
flossco@flossco-mypc:/etc$ sudo lsof -i -n -P
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
master 1486 root 12u IPv4 20915 0t0 TCP 127.0.0.1:25 (LISTEN)
whois_psa 4054 root 3u IPv4 99211 0t0 TCP <myip>->202.12.29.220:43 (SYN_SENT)
我如何找出 whois_psa 这个用户是谁,以及他们如何处理我的连接?我的用户名是 flossco,之前的日志都是以我的名字命名的 - 发生了什么变化?我在互联网上找不到任何关于此的信息。这是我尝试加强 Linux 以抵御最近攻击的一部分。我不知道这样做是否可行。
答案1
我发现这个命令与 psad 相关联,这是一个奇怪的子目录 whois_psad,但似乎不是常规目录和命令的一部分。我删除了相关文件,从那以后用户就没再出现过。