Proxmox 플랫폼에서 실행되는 여러 Linux(주로 Debian) 서버가 있습니다. 모두 ADSL 회선을 통해 인터넷에 연결되어 있으며, 공인 IP는 1개뿐입니다.
그 중 한 곳은 외부 서버(인터넷에 연결된 ADSL을 통해 모니터링되는 다른 네트워크)를 모니터링하기 위해 1년여 전부터 OMD(Open Monitoring Distribution)를 실행해 왔습니다.
이제 원격 서버 소유자로부터 밤에 포트 스캔을 실행하는 ADSL 공용 IP를 감지하여 열려 있는 포트를 스캔한다는 메시지를 받았습니다.
데비안 시스템에서 이런 일이 일어난 것은 이번이 두 번째입니다 :(
스캔을 실행하는 프로세스를 감지해야 합니다.
- 문제의 Linux 시스템에서 어떤 프로세스가 포트 스캔을 시작하는지 어떻게 알 수 있습니까? 여기서 어려운 점은 밤 중 어느 시점에 발생할 수 있는 스캔이 발생할 때 프로세스를 이해하기 위해 무엇이든 실행해야 한다는 것입니다.
- 어떤 방식으로 시작되었다가 두 번 사이에 완료된 프로세스 목록을 가져오는 방법이 있습니까(예: 23:00부터 03:00까지 시작된 새 프로세스)
미리 감사드립니다
답변1
이러한 나쁜 행동을 추적하는 가장 좋은 방법은 수시로 컴퓨터 활동 로그를 수집하는 것입니다.
열려 있는 네트워크 연결을 보려면 15분마다 스크립트를 실행하는 것이 cron아마도 가장 좋은 방법일 것입니다.
lsof이 명령을 사용하여 컴퓨터의 네트워크 연결에 대한 정보를 수집하는 것이 좋습니다 . 그것은 다음과 같습니다:
lsof [email protected] >> /tmp/my-connexions.log
또는 컴퓨터가 무작위로 검색하고 각 검색에 대해 IP를 변경하는 경우(TCP 연결만 해당):
lsof -iTCP >> /tmp/my-connexions.log
명령의 결과 lsof는 다음과 같습니다.
iceweasel 31562 user 50u IPv4 13500060 0t0 TCP bill:47039->stackoverflow.com:https (ESTABLISHED)
iceweasel 31562 user 60u IPv4 13549538 0t0 TCP bill:60564->104.16.15.128:http (ESTABLISHED)
iceweasel 31562 user 61u IPv4 13578815 0t0 TCP bill:46285->185.45.5.43:https (ESTABLISHED)
iceweasel 31562 user 67u IPv4 13496262 0t0 TCP bill:47020->stackoverflow.com:https (ESTABLISHED)
각 줄의 맨 왼쪽에는 연결을 실행하는 프로그램의 이름이 표시됩니다(귀하의 경우에는 이것이 흥미로운 부분입니다). 나머지 줄에서는 사용된 연결과 프로토콜을 설명합니다.
또한 프로그램의 모든 시스템 호출을 커널에 기록하는 내용 auditctl( 패키지와 함께 제공) 을 볼 수도 있습니다 ( 가끔 실행하는 것보다 더 정확함). 다음과 같은 명령을 실행할 수 있습니다(항상 그렇듯 먼저 문서를 읽어보세요!).auditdlsof
auditctl -A exit,always -S connect