存在可疑流量的网络安全问题。如何追踪?

存在可疑流量的网络安全问题。如何追踪?

我遇到了一个对我来说有点高级的特定问题。在我的路由器日志中,我看到了以下几行:

Internal                Prot.   External             NAT    Time-out 

192.168.0.167:56396     TCP     186.112.54.84:22    60753   54416
192.168.0.167:45776     TCP     62.213.111.201:23   62531   48429

我重新刷新了路由器,几天后这些行消失了,但现在它们又出现了。好的,第二个 IP 地址今天来自俄罗斯。我访问过该网站(但为什么是 telnet 端口 23),我认为第一个来自哥伦比亚 DSL 用户。我还记录了以下行:

192.168.0.167:39485     TCP     41.46.0.90:23   62635   53810

IP 来自埃及。我无法使用 找到 Ubuntu 上的进程netstat。我也找不到给定的连接。我也试过rkhunter但这chkroot对我来说太高级了。你能给我提示一下如何在 Ubuntu (12.10) 上找到相应的进程吗?

安装 ossec 后,我得到以下几行(以及其他几行):

** 警报 1357654774.6683:邮件 - syslog,错误,2013 年 1 月 8 日 15:19:34 rr->/var/log/auth.log 规则:1002(级别 2)->“系统某处出现未知问题。” 1 月 8 日 15:19:34 rr dbus[412]:[系统] 拒绝发送消息,2 条匹配的规则;类型=“method_call”,发送者=“:1.62”(uid=1000 pid=2285 comm=“/usr/lib/indicator-session/indicator-session-servi”)接口=“org.freedesktop.DBus.Properties”成员=“GetAll”错误名称=“(未设置)”requested_reply=“0”目的地=“:1.19”(uid=0 pid=1157 comm=“/usr/sbin/console-kit-daemon --no-daemon”)

答案1

考虑使用 检查系统上所有二进制文件的完整性debsums。这可能会显示一些已更改的内核(内核模块)或系统应用程序。我见过更改的 OpenSSH 守护程序来隐藏活动,以及更改的蓝牙内核模块甚至在内核级别创建后门。我能够通过对通过包管理安装的系统上所有二进制文件的自动校验和来找到它。

  • 安装包debsums,例如

    sudo apt-get install debsums
    
  • 运行 debsums 时仅在输出中出现错误。

    sudo debsums -s
    

    有些文件可能丢失,或者某些软件包没有可用的 MD5sum。请注意已更改二进制文件。

此外,一定要熟悉 rootkit 猎手。我认为它们并不难使用。请务必使用最新版本和最新的恶意软件定义,以便找到最新的版本。但是,这不是万无一失的测试。我建议在以下任一网站上就此问题提出更具体的问题安全 SE或者unix 系统评估版

答案2

或者尝试lsof | grep 45776使用其他端口号。

相关内容