Назад | Перейти на главную страницу

соединение инициировано с локального хоста linux

Один из серверов Linux был скомпрометирован, и некоторые из подключений исходят от локального хоста к удаленному месту, на котором размещается информация, находящаяся на нем. Я пытаюсь отследить все исходящие соединения с моего сервера ..

Я пытался

iptables -A OUTPUT -m tcp -p tcp --src 0/0  -j LOG  --log-prefix "LOCALHOST SOURCED IT" --log-level 7

, это не показывает никакого прогресса в отношении уже примененных правил или где-либо еще ... может кто-нибудь указать, что здесь не так.

В случае компромисса обычно бывает две идеи:

  • отключите машину от сети СЕЙЧАС, так как она может нанести еще больший ущерб. Проверьте, как злоумышленник действительно пришел, и восстановите машину с нуля без этой конкретной лазейки. Восстанавливайте из резервных копий только то, что было проверено как «нормально», не поддавайтесь соблазну восстановить «последнюю резервную копию» и «удалить некоторые подозрительные сценарии». Вы не знаете, когда злоумышленник вошел в ваш ящик, и, если вам не повезет, ваше восстановление из резервной копии может также повторно установить руткит злоумышленника или другое вредоносное ПО.

  • создавать криминалистически полезную информацию и после этого отключать машину.

Судебно-медицинская информация более подробна:

  • https://github.com/504ensicsLabs/LiME сделать снимок вашей оперативной памяти на диск (или в сеть)
  • tcpdump -s 0 -w dumpfile.pcap для захвата сетевого трафика и последующего его анализа на другом / выделенном хосте, например с помощью wirehark или аналогичного программного обеспечения.

В любом случае: - Имейте в виду, что злоумышленник не ограничен tcp. они также могут использовать udp или любой другой протокол на основе IP. - Если злоумышленник получил root-доступ, он мог изменить механизмы ведения журнала. Вы больше не можете доверять журналам машины, журналы могли быть отфильтрованы.

Если вы все еще хотите вести журнал iptables:

iptables -I OUTPUT -p tcp -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7

должен сделать свое дело.