从 Linux 本地主机发起的连接

从 Linux 本地主机发起的连接

其中一个 Linux 服务器被入侵,一些连接从本地主机发起到远程位置,并将驻留在该位置上的信息发布到远程位置。我正在尝试跟踪来自我的服务器的所有传出连接。

我曾尝试

iptables -A OUTPUT -m tcp -p tcp --src 0/0  -j LOG  --log-prefix "LOCALHOST SOURCED IT" --log-level 7

,这并没有显示出在已经应用的规则之上或任何地方的任何进展...有人可以指导这里出了什么问题吗。

答案1

一旦出现妥协,通常会有两种思路:

  • 立即将机器从网络上移除,因为这可能会造成更大的损害。检查坏人是如何入侵的,并从头开始重建没有特定漏洞的机器。仅从备份中恢复经过验证为“正常”的内容,不要试图恢复“最新备份”和“删除一些可疑脚本”。您不知道入侵者何时进入您的机器,如果运气不好,您从备份中恢复的内容也可能重新安装入侵者的 rootkit 或其他恶意软件。

  • 创建具有法医价值的信息,然后使机器离线。

法医信息主要包括以下方面:

  • https://github.com/504ensicsLabs/LiME将内存快照保存到磁盘(或网络)
  • tcpdump -s 0 -w dumpfile.pcap捕获网络流量并在不同的/专用的主机上对其进行分析,例如使用 wireshark 或类似软件。

无论如何: - 请注意,攻击者不仅限于 tcp。他们还可能使用 udp 或任何基于 ip 的协议。 - 如果入侵者获得了 root 访问权限,他们可能已经更改了日志记录机制。您不能再真正信任机器的日志,日志可能已被过滤。

如果您仍想执行一些 iptables 日志记录:

iptables -I OUTPUT -p tcp -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7

应该可以解决问题。

相关内容