Сервер LDAP на другом сервере сообщает о необычно большом количестве попыток чтения каталога LDAP, все из которых выглядят как попытки взлома для чтения информации о пользователе / пароле. Он сообщает, что исходный IP-адрес - это сервер Mac OS X. Я вхожу на сервер Mac OS X, запускаю ps -A но ничего подозрительного не выглядит. Есть ли способ увидеть, что делает клиент ldap Mac OS X?
Мне нужно отключить этот вредоносный сценарий, но я не могу полностью отключить клиент LDAP, поскольку пользователи полагаются на этот сервер для хранения файлов и идентификаторов пользователей.
На сервере: вы можете использовать tcpdump для прослушивания некоторых пакетов от клиента Mac OS X:
# tcpdump -vv -s0 -i eth0 tcp port 389 and src host <mac.osx.ip.address>
и откройте в Wireshark для анализа.
На клиенте используйте netstat чтобы узнать, какой процесс подключается к серверу LDAP:
# netstat -natp | awk '$5 ~ /ldap.server.ip.address/ { print $0 }'