另一台 LDAP 服务器报告了异常多的读取 LDAP 目录的尝试,所有这些尝试都像是黑客试图读取用户/密码信息。它报告说,原始 IP 是 Mac OS X 服务器。我登录到 Mac OS X 服务器,运行,ps -A但它没有任何可疑的操作。有没有办法查看 Mac OS X ldap 客户端正在做什么?
我需要禁用这个恶意脚本,但我无法完全禁用 LDAP 客户端,因为用户依赖该服务器进行文件存储和用户 ID。
答案1
在服务器上:你可以使用它tcpdump来嗅探来自 Mac OS X 客户端的一些数据包:
# tcpdump -vv -s0 -i eth0 tcp port 389 and src host <mac.osx.ip.address>
并用Wireshark打开进行分析。
在客户端上,使用netstat以下命令找出正在连接 LDAP 服务器的进程:
# netstat -natp | awk '$5 ~ /ldap.server.ip.address/ { print $0 }'