我的互联网体验非常慢。在 vnstat 中我看到
rx: 4 kbit/s 3 p/s tx: 94.74 Mbit/s 14072 p/s^C
eth4 / traffic statistics
rx | tx
--------------------------------------+------------------
bytes 11.85 MiB | 30.30 GiB
--------------------------------------+------------------
max 6.86 Mbit/s | 94.93 Mbit/s
average 28.18 kbit/s | 73.80 Mbit/s
min 0 kbit/s | 0 kbit/s
--------------------------------------+------------------
packets 17127 | 37761168
--------------------------------------+------------------
max 584 p/s | 14108 p/s
average 4 p/s | 10964 p/s
min 0 p/s | 0 p/s
--------------------------------------+------------------
time 57.40 minutes
使用 nethogs 我明白了,
PID USER PROGRAM DEV SENT RECEIVED
2546 root su eth4 0.013 0.072 KB/sec
? root 192.168.7.100:58888-43.250.83.106:61878 0.021 0.025 KB/sec
? root 192.168.7.100:58888-70.24.39.90:65025 0.021 0.025 KB/sec
? root 192.168.7.100:44145-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:52239-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:15834-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:29433-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:49576-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:36540-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:32289-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:25437-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:10155-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:32125-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:59269-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:57686-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:2747-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:59482-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:58985-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:56246-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:4345-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:10665-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:40676-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:35600-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:12241-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:43541-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:19124-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:1676-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:37809-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:7017-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:14998-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:64834-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:31544-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:17969-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:57675-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:32002-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:1233-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:64445-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:51733-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:38604-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:63299-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:96-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:28078-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:40611-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:4304-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:43318-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:8573-115.28.112.60:7575 0.168 0.000 KB/sec
? root 192.168.7.100:51347-115.28.112.60:7575 0.168 0.000 KB/sec
似乎有人运行了 torrent 应用程序并从我的电脑上传了所有内容。但我不确定。
我怎么知道哪个进程在做这种讨厌的事情?我需要阻止它并防止它在未来再次发生。
我是不是被当成了抵押品?
更新
我已经通过路由器防火墙关闭了除 sshd (22) 之外的所有端口。现在我看不到此进程。但现在 nethogs 显示了这种奇怪的输出。
PID USER PROGRAMDEV SENT RECEIVED
? root unknown TCP 0.000 0.000 KB/sec
答案1
这似乎可能属于信息安全,但这里首先要看看“你如何知道”以及你是否被攻击了。
一些观察:
- 43.250.83.106 位于孟加拉国 (附近)
- 70.24.39.90 位于北美(加拿大)
- 115.28.112.60 为亚太地区(中国),无入站流量
- 低端口号(低于操作系统的临时限制)是特权端口,通常不需要出站。
- 虽然端口扫描可以解释最后一组(单一来源:IP),但没有证据表明它是入站会话,并且 RST(响应扫描)大约为 50 字节(而不是 172)。
要确定是否有可能存在 C2(位于前两个地址)后跟快速打开出站端口序列(每个端口发送约 172 个字节,关闭时没有明显响应),您必须重新连接系统并开始捕获数据包。不要这样做。
如果您要保留它/不备份等:
- 查看外部防火墙日志,或捕获系统外的数据包,看看它是否仍在尝试联系。它也可能正在向您的网络发送数据包。这可能就像 DNS 或 ICMP 出站一样简单,以避免暴露 C2。
- 在主机本身,你可以尝试几件事:
- 首先考虑你的工具是否被覆盖或挂载。为此,你可以尝试获取静态链接的二进制文件/使自己(并保存在只读媒体上),或者使用忙碌箱
- “netstat -p”通常只有在提升权限的情况下才有效(您在调查时肯定已经提升了权限,因此这不会带来额外的风险)。
- “lsof -i4” 将显示进程 + IPv4 连接(-i6 表示 IPv6)。
- 取消隐藏将 /proc 与 'ps' 进行比较,尝试系统调用,执行 pid 暴力破解、反向线程搜索,还可以显示 netstat 看不到的端口。
- ss -ap(进程 + 套接字)
- rkhunter、chkrootkit(rootkit 检查器)
- 检查是否有任何东西在奇怪的地方运行(例如 tmp 文件夹)
- 检查常驻脚本(perl、python 等)
其他工具:
- lsmod 应该显示内核模块
- auditd(如果您的发行版添加了它)应该可以让您监控奇怪的系统调用和故障。
- tcpdump(捕获网络流量)
- 检查每个用户的历史文件(包括 /root 和 /home/*),例如 .bash_history、.lesshst、.mysql_history 等。
- 检查 /proc/filesystems 和任何您未安装的 ck* 文件系统。用户空间 (FUSE) 中的文件系统可能隐藏了临时区域。
预防再次发生是一个与所发生事件相关的复杂而复杂的答案。防火墙 (iptables)、IDS/IPS (snort)、禁用不必要的服务、审核 wget/curl/脚本语言访问、审核放在奇怪位置(主文件夹、临时文件夹)的可执行文件、文件完整性监控等都是不错的选择。SELinux(AppArmor 在其他系统上类似)往往需要大量工作,但也很有用。