Один из серверов Linux был скомпрометирован, и некоторые из подключений исходят от локального хоста к удаленному месту, на котором размещается информация, находящаяся на нем. Я пытаюсь отследить все исходящие соединения с моего сервера ..
Я пытался
iptables -A OUTPUT -m tcp -p tcp --src 0/0 -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7
, это не показывает никакого прогресса в отношении уже примененных правил или где-либо еще ... может кто-нибудь указать, что здесь не так.
В случае компромисса обычно бывает две идеи:
отключите машину от сети СЕЙЧАС, так как она может нанести еще больший ущерб. Проверьте, как злоумышленник действительно пришел, и восстановите машину с нуля без этой конкретной лазейки. Восстанавливайте из резервных копий только то, что было проверено как «нормально», не поддавайтесь соблазну восстановить «последнюю резервную копию» и «удалить некоторые подозрительные сценарии». Вы не знаете, когда злоумышленник вошел в ваш ящик, и, если вам не повезет, ваше восстановление из резервной копии может также повторно установить руткит злоумышленника или другое вредоносное ПО.
создавать криминалистически полезную информацию и после этого отключать машину.
Судебно-медицинская информация более подробна:
tcpdump -s 0 -w dumpfile.pcap
для захвата сетевого трафика и последующего его анализа на другом / выделенном хосте, например с помощью wirehark или аналогичного программного обеспечения.В любом случае: - Имейте в виду, что злоумышленник не ограничен tcp. они также могут использовать udp или любой другой протокол на основе IP. - Если злоумышленник получил root-доступ, он мог изменить механизмы ведения журнала. Вы больше не можете доверять журналам машины, журналы могли быть отфильтрованы.
Если вы все еще хотите вести журнал iptables:
iptables -I OUTPUT -p tcp -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7
должен сделать свое дело.