其中一个 Linux 服务器被入侵,一些连接从本地主机发起到远程位置,并将驻留在该位置上的信息发布到远程位置。我正在尝试跟踪来自我的服务器的所有传出连接。
我曾尝试
iptables -A OUTPUT -m tcp -p tcp --src 0/0 -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7
,这并没有显示出在已经应用的规则之上或任何地方的任何进展...有人可以指导这里出了什么问题吗。
答案1
一旦出现妥协,通常会有两种思路:
立即将机器从网络上移除,因为这可能会造成更大的损害。检查坏人是如何入侵的,并从头开始重建没有特定漏洞的机器。仅从备份中恢复经过验证为“正常”的内容,不要试图恢复“最新备份”和“删除一些可疑脚本”。您不知道入侵者何时进入您的机器,如果运气不好,您从备份中恢复的内容也可能重新安装入侵者的 rootkit 或其他恶意软件。
创建具有法医价值的信息,然后使机器离线。
法医信息主要包括以下方面:
- https://github.com/504ensicsLabs/LiME将内存快照保存到磁盘(或网络)
tcpdump -s 0 -w dumpfile.pcap
捕获网络流量并在不同的/专用的主机上对其进行分析,例如使用 wireshark 或类似软件。
无论如何: - 请注意,攻击者不仅限于 tcp。他们还可能使用 udp 或任何基于 ip 的协议。 - 如果入侵者获得了 root 访问权限,他们可能已经更改了日志记录机制。您不能再真正信任机器的日志,日志可能已被过滤。
如果您仍想执行一些 iptables 日志记录:
iptables -I OUTPUT -p tcp -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7
应该可以解决问题。