CentOS 7을 실행하는 Linux 서버가 있습니다. 며칠 전에 우리는 사용자의 AD 자격 증명을 사용하여 포트 445를 통해 Windows 서버 공유에 반복적으로 연결을 시도하기 시작했다는 사실을 발견했습니다. 사용자 계정 정보는 (연결을 시도하는) 다른 서버를 관리하는 사람이 나에게 제공한 것입니다. 2~3초마다 요청이 있습니다 SYN_SENT.
어떤 프로세스가 이 작업을 수행하는지 찾으려고 하는데 PID 정보가 표시되지 netstat않습니다 . ss이 문제의 원인을 찾으려면 어떻게 해야 합니까?
나는 경험했다이 파일(Turla Penguin 정보) 다음 명령을 실행합니다.
sudo find / -xdev -type f -size +400k -size -5000k -exec md5sum {} \+ | grep -E '0994d9deb50352e76b0322f48ee576c6|14ecd5e6fc8e501037b54ca263896a11|19fbd8cbfb12482e8020a887d6427315|edf900cebb70c6d1fcab0234062bfc28|ea06b213d5924de65407e8931b1e4326|e079ec947d3d4dacb21e993b760a65dc|ad6731c123c4806f91e1327f35194722|b4587870ecf51e8ef67d98bb83bc4be7|7533ef5300263eec3a677b3f0636ae73'
결과는 부정적입니다.
답변1
며칠 전 우리는 특정 사용자의 AD 자격 증명을 사용하여 포트 445를 통해 Windows 서버 공유에 반복적으로 연결을 시도하기 시작했다는 사실을 발견했습니다.
보안 패치를 설치하셨나요? CentOS 7은 더 이상 사용되지 않으며 올해 6월 30일에 수명이 종료됩니다.
포트 445는 SMB 서비스이며 시스템(Ansible 또는 Puppet과 같은 구성 소프트웨어를 사용하고 구성이 엉망이 되지 않는 한)은 특히 특정 사용자 자격 증명을 사용하여 원격 호스트의 서비스에 연결하도록 자동으로 설정하지 않습니다.
2~3초마다 SYN_SENT 요청이 있습니다.
이것은 프로브처럼 보입니다. IIRC Sasser 웜이 바로 그런 일을 했습니다.
어떤 프로세스가 이 작업을 수행하는지 알아내려고 하는데 netstat 및 ss에 PID 정보가 표시되지 않습니다. 이 문제의 원인을 찾으려면 어떻게 해야 합니까?
일반적으로 @ChrisDavies가 말했듯이 도구 자체는 침입을 표시하지 않도록 대체되는 경우가 많기 때문에 손상된 시스템의 도구에 의존하여 침입을 알아낼 수 없습니다.
컴퓨터를 네트워크에서 연결 해제하고 실제로 손상되었는지 조사해야 합니다. 이 경우 우선 서버를 해킹할 수 있는 보안 결함을 찾으십시오. 그런 다음 기계를 청소하고 최신 운영 체제로 완전히 다시 설치하십시오.