我们有一台运行 CentOS 7 的 Linux 服务器。几天前,我们发现它开始不断尝试使用某个用户的 AD 凭据通过端口 445 连接到 Windows 服务器共享。用户帐户信息是由管理其他服务器(正在尝试连接)的人员提供给我的。每 2-3 秒就有一个SYN_SENT
请求。
我试图找出哪个进程正在执行此操作,但netstat
没有ss
显示任何 PID 信息。我该怎么做才能找出这个问题的原因?
我经历了这个文件(关于 Turla Penguin)并运行以下命令:
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
结果是否定的。
答案1
几天前,我们发现它开始不断尝试使用特定用户的 AD 凭据通过端口 445 连接到 Windows 服务器共享。
您是否安装了安全补丁? CentOS 7 已经过时,并且将于今年 6 月 30 日结束生命周期。
端口 445 是 SMB 服务,系统(除非您使用 Ansible 或 Puppet 等配置软件且配置混乱)不会自动将其设置为连接到远程主机上的服务,尤其是使用特定的用户凭据。
每 2-3 秒就有一个 SYN_SENT 请求。
这看起来像一个探针。 IIRC 震荡波蠕虫病毒就是这么做的。
我试图找出哪个进程正在执行此操作,但 netstat 和 ss 没有显示任何 PID 信息。我该怎么做才能找出这个问题的原因?
一般来说,正如 @ChrisDavies 所说,您不能依靠已受到损害的机器上的工具来找出入侵情况,因为工具本身通常已被替换以不显示入侵。
您应该断开计算机与网络的连接,然后调查它是否确实受到损害,在这种情况下,首先找到导致服务器被黑客攻击的安全漏洞。然后清理机器并使用现代操作系统进行干净的重新安装。