我遇到了一个对我来说有点高级的特定问题。在我的路由器日志中,我看到了以下几行:
Internal Prot. External NAT Time-out
192.168.0.167:56396 TCP 186.112.54.84:22 60753 54416
192.168.0.167:45776 TCP 62.213.111.201:23 62531 48429
我重新刷新了路由器,几天后这些行消失了,但现在它们又出现了。好的,第二个 IP 地址今天来自俄罗斯。我访问过该网站(但为什么是 telnet 端口 23),我认为第一个来自哥伦比亚 DSL 用户。我还记录了以下行:
192.168.0.167:39485 TCP 41.46.0.90:23 62635 53810
IP 来自埃及。我无法使用 找到 Ubuntu 上的进程netstat。我也找不到给定的连接。我也试过rkhunter但这chkroot对我来说太高级了。你能给我提示一下如何在 Ubuntu (12.10) 上找到相应的进程吗?
安装 ossec 后,我得到以下几行(以及其他几行):
** 警报 1357654774.6683:邮件 - syslog,错误,2013 年 1 月 8 日 15:19:34 rr->/var/log/auth.log 规则:1002(级别 2)->“系统某处出现未知问题。” 1 月 8 日 15:19:34 rr dbus[412]:[系统] 拒绝发送消息,2 条匹配的规则;类型=“method_call”,发送者=“:1.62”(uid=1000 pid=2285 comm=“/usr/lib/indicator-session/indicator-session-servi”)接口=“org.freedesktop.DBus.Properties”成员=“GetAll”错误名称=“(未设置)”requested_reply=“0”目的地=“:1.19”(uid=0 pid=1157 comm=“/usr/sbin/console-kit-daemon --no-daemon”)
答案1
考虑使用 检查系统上所有二进制文件的完整性debsums。这可能会显示一些已更改的内核(内核模块)或系统应用程序。我见过更改的 OpenSSH 守护程序来隐藏活动,以及更改的蓝牙内核模块甚至在内核级别创建后门。我能够通过对通过包管理安装的系统上所有二进制文件的自动校验和来找到它。
安装包
debsums,例如sudo apt-get install debsums运行 debsums 时仅在输出中出现错误。
sudo debsums -s有些文件可能丢失,或者某些软件包没有可用的 MD5sum。请注意已更改二进制文件。
此外,一定要熟悉 rootkit 猎手。我认为它们并不难使用。请务必使用最新版本和最新的恶意软件定义,以便找到最新的版本。但是,这不是万无一失的测试。我建议在以下任一网站上就此问题提出更具体的问题安全 SE或者unix 系统评估版。
答案2
或者尝试lsof | grep 45776使用其他端口号。