Мой веб-сервер работает под управлением Ubuntu 12.04.2 LTS со всеми установленными обновлениями безопасности. Он используется в качестве веб-прокси-сервера, который обрабатывает входящие запросы по HTTP / 80 HTTPS / 443, но также получает веб-контент с других серверов с использованием соединений HTTP / HTTPS. Сервер также использует соединение HTML5 WebSocket для отправки обновлений в реальном времени пользователям клиентов.
Я получил уведомление от трех отдельных домашних пользователей, что мой сервер якобы выполнил сканирование портов на их IP-адресах. К сожалению, я знаю только дату и время предполагаемого сканирования портов, но не знаю IP-адрес или порт назначения. Кроме того, я не уверен, ложные ли это срабатывания или мой сервер действительно был взломан.
Пока что я провел предварительный анализ с помощью netstat -anltp, чтобы проверить, есть ли подозрительный трафик. При проверке все в порядке, так как есть только HTTP-соединения. Вдобавок я выполнил команду «ps aux», чтобы вывести список всех запущенных процессов, но должен признать, что сейчас я немного потерялся.
Какие дальнейшие действия можно предпринять для обнаружения подозрительного трафика? Какие файлы журналов следует проверять? Какие журналы необходимо включить для обнаружения подозрительного исходящего трафика в будущем? Какие сторонние инструменты могут обнаруживать дальнейшие исходящие сканы портов?
Инструмент, который может обнаруживать исходящие сканы портов, - это tcpdump. Бегать tcpdump -i eth0 -w dump
а затем спокойно прочитайте данные дампа, соответствующие пакетам, отправленным в эти даты.
Также спрашивайте у пользователей их IP-адреса, если они статические.
Смотреть на /var/log/auth.log
и last -100
чтобы узнать, не злоупотреблял ли кто-то вашей системой, проверьте наличие подозрительных заданий cron, загляните в каталог / root, если появилось что-то странное. В этих случаях важен инструмент для хэширования системных файлов (например, tripwire).