Назад | Перейти на главную страницу

Как обнаружил подозрительное соединение в выводе netstat?

Кажется, что из моего debian 7.1 исходит какая-то грубая сила ssh. Я ищу, как найти источник этой грубой силы. Я ищу в выводе netstat, но как я могу определить след этого взлома?

root@server:~# netstat -pa
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 *:sunrpc                *:*                     LISTEN      1778/rpcbind    
tcp        0      0 *:ftp                   *:*                     LISTEN      3344/vsftpd     
tcp        0      0 *:ssh                   *:*                     LISTEN      2853/sshd       
tcp        0      0 *:smtp                  *:*                     LISTEN      3317/master     
tcp        0      0 localhost:6502          *:*                     LISTEN      7660/murmurd    
tcp        0      0 localhost:mysql         *:*                     LISTEN      2796/mysqld     
tcp        0      0 *:43978                 *:*                     LISTEN      1809/rpc.statd  
tcp        0    384 VPS-286:ssh             lns-bzn-25-82-254:54495 ESTABLISHED 27537/sshd: bux [pr
tcp6       0      0 [::]:sunrpc             [::]:*                  LISTEN      1778/rpcbind    
tcp6       0      0 [::]:http               [::]:*                  LISTEN      20188/apache2   
tcp6       0      0 [::]:60915              [::]:*                  LISTEN      1809/rpc.statd  
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      2853/sshd       
tcp6       0      0 [::]:smtp               [::]:*                  LISTEN      3317/master     
tcp6       0      0 [::]:64738              [::]:*                  LISTEN      7660/murmurd    
tcp6       0     53 VPS-286:64738           modemcable023.125:48495 ESTABLISHED 7660/murmurd    
udp        0      0 *:sunrpc                *:*                                 1778/rpcbind    
udp        0      0 *:681                   *:*                                 1778/rpcbind    
udp        0      0 localhost:713           *:*                                 1809/rpc.statd  
udp        0      0 *:mdns                  *:*                                 2343/avahi-daemon: 
udp        0      0 *:42288                 *:*                                 2343/avahi-daemon: 
udp        0      0 *:42305                 *:*                                 1809/rpc.statd  
udp        0      0 *:1900                  *:*                                 3350/minissdpd  
udp6       0      0 [::]:sunrpc             [::]:*                              1778/rpcbind    
udp6       0      0 [::]:681                [::]:*                              1778/rpcbind    
udp6       0      0 [::]:46811              [::]:*                              1809/rpc.statd  
udp6       0      0 [::]:64738              [::]:*                              7660/murmurd    
udp6       0      0 [::]:mdns               [::]:*                              2343/avahi-daemon: 
udp6       0      0 [::]:56702              [::]:*                              2343/avahi-daemon: 
Sockets du domaine UNIX actives(serveurs et établies)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Chemin
unix  2      [ ACC ]     STREAM     LISTENING     6257     2381/gam_server     @/tmp/fam-root-
unix  2      [ ACC ]     STREAM     LISTENING     5659     1778/rpcbind        /var/run/rpcbind.sock
unix  2      [ ACC ]     SEQPACKET  LISTENING     3360     344/udevd           /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     6178     2343/avahi-daemon:  /var/run/avahi-daemon/socket
unix  2      [ ACC ]     STREAM     LISTENING     6237     2379/python         /var/run/fail2ban/fail2ban.sock
unix  11     [ ]         DGRAM                    6003     2134/rsyslogd       /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     6031     2176/acpid          /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     6830     2796/mysqld         /var/run/mysqld/mysqld.sock
unix  2      [ ]         DGRAM                    6005     2134/rsyslogd       /var/spool/postfix/dev/log
unix  2      [ ACC ]     STREAM     LISTENING     7527     3317/master         public/cleanup
unix  2      [ ACC ]     STREAM     LISTENING     7532     3317/master         private/tlsmgr
unix  2      [ ACC ]     STREAM     LISTENING     7535     3317/master         private/rewrite
unix  2      [ ACC ]     STREAM     LISTENING     7538     3317/master         private/bounce
unix  2      [ ACC ]     STREAM     LISTENING     7541     3317/master         private/defer
unix  2      [ ACC ]     STREAM     LISTENING     7544     3317/master         private/trace
unix  2      [ ACC ]     STREAM     LISTENING     7547     3317/master         private/verify
unix  2      [ ACC ]     STREAM     LISTENING     7550     3317/master         public/flush
unix  2      [ ACC ]     STREAM     LISTENING     7553     3317/master         private/proxymap
unix  2      [ ACC ]     STREAM     LISTENING     7556     3317/master         private/proxywrite
unix  2      [ ACC ]     STREAM     LISTENING     7559     3317/master         private/smtp
unix  2      [ ACC ]     STREAM     LISTENING     7562     3317/master         private/relay
unix  2      [ ACC ]     STREAM     LISTENING     7565     3317/master         public/showq
unix  2      [ ACC ]     STREAM     LISTENING     7568     3317/master         private/error
unix  2      [ ACC ]     STREAM     LISTENING     7571     3317/master         private/retry
unix  2      [ ACC ]     STREAM     LISTENING     7574     3317/master         private/discard
unix  2      [ ACC ]     STREAM     LISTENING     7577     3317/master         private/local
unix  2      [ ACC ]     STREAM     LISTENING     7580     3317/master         private/virtual
unix  2      [ ACC ]     STREAM     LISTENING     7583     3317/master         private/lmtp
unix  2      [ ACC ]     STREAM     LISTENING     7586     3317/master         private/anvil
unix  2      [ ACC ]     STREAM     LISTENING     7589     3317/master         private/scache
unix  2      [ ACC ]     STREAM     LISTENING     7592     3317/master         private/maildrop
unix  2      [ ACC ]     STREAM     LISTENING     7595     3317/master         private/uucp
unix  2      [ ACC ]     STREAM     LISTENING     7598     3317/master         private/ifmail
unix  2      [ ACC ]     STREAM     LISTENING     7601     3317/master         private/bsmtp
unix  2      [ ACC ]     STREAM     LISTENING     7604     3317/master         private/scalemail-backend
unix  2      [ ACC ]     STREAM     LISTENING     7607     3317/master         private/mailman
unix  2      [ ACC ]     STREAM     LISTENING     7650     3350/minissdpd      /var/run/minissdpd.sock
unix  2      [ ACC ]     STREAM     LISTENING     6135     2310/dbus-daemon    /var/run/dbus/system_bus_socket
unix  2      [ ]         DGRAM                    74140611 14274/pickup        
unix  2      [ ]         DGRAM                    74047722 27625/sudo          
unix  2      [ ]         DGRAM                    74047719 27625/sudo          
unix  3      [ ]         STREAM     CONNECTE      74047637 27537/sshd: bux [pr 
unix  3      [ ]         STREAM     CONNECTE      74047636 27539/0             
unix  2      [ ]         DGRAM                    74047635 27537/sshd: bux [pr 
unix  3      [ ]         STREAM     CONNECTE      237655   2310/dbus-daemon    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTE      237654   7660/murmurd        
unix  3      [ ]         STREAM     CONNECTE      237652   7660/murmurd        
unix  3      [ ]         STREAM     CONNECTE      237651   7660/murmurd        
unix  3      [ ]         STREAM     CONNECTE      237650   7660/murmurd        
unix  3      [ ]         STREAM     CONNECTE      237649   7660/murmurd        
unix  3      [ ]         STREAM     CONNECTE      237632   2310/dbus-daemon    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTE      237631   7660/murmurd        
unix  3      [ ]         STREAM     CONNECTE      237609   7660/murmurd        
unix  3      [ ]         STREAM     CONNECTE      237608   7660/murmurd        
unix  3      [ ]         STREAM     CONNECTE      237607   7660/murmurd        
unix  3      [ ]         STREAM     CONNECTE      237606   7660/murmurd        
unix  2      [ ]         DGRAM                    34557    3952/tlsmgr         
unix  2      [ ]         DGRAM                    7613     3337/qmgr           
unix  3      [ ]         STREAM     CONNECTE      7609     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7608     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7606     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7605     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7603     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7602     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7600     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7599     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7597     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7596     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7594     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7593     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7591     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7590     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7588     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7587     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7585     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7584     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7582     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7581     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7579     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7578     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7576     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7575     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7573     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7572     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7570     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7569     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7567     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7566     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7564     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7563     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7561     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7560     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7558     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7557     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7555     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7554     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7552     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7551     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7549     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7548     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7546     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7545     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7543     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7542     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7540     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7539     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7537     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7536     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7534     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7533     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7531     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7530     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7529     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7528     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7526     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7525     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7524     3317/master         
unix  3      [ ]         STREAM     CONNECTE      7523     3317/master         
unix  2      [ ]         DGRAM                    7493     3317/master         
unix  2      [ ]         DGRAM                    6746     2797/logger         
unix  3      [ ]         STREAM     CONNECTE      6357     2381/gam_server     @/tmp/fam-root-
unix  3      [ ]         STREAM     CONNECTE      6356     2379/python         
unix  3      [ ]         STREAM     CONNECTE      6321     2381/gam_server     @/tmp/fam-root-
unix  3      [ ]         STREAM     CONNECTE      6320     2379/python         
unix  3      [ ]         STREAM     CONNECTE      6261     2381/gam_server     @/tmp/fam-root-
unix  3      [ ]         STREAM     CONNECTE      6259     2379/python         
unix  3      [ ]         STREAM     CONNECTE      6181     2310/dbus-daemon    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTE      6180     2343/avahi-daemon:  
unix  3      [ ]         STREAM     CONNECTE      6175     2344/avahi-daemon:  
unix  3      [ ]         STREAM     CONNECTE      6174     2343/avahi-daemon:  
unix  2      [ ]         DGRAM                    6172     2343/avahi-daemon:  
unix  3      [ ]         STREAM     CONNECTE      6139     2310/dbus-daemon    
unix  3      [ ]         STREAM     CONNECTE      6138     2310/dbus-daemon    
unix  2      [ ]         DGRAM                    6028     2176/acpid          
unix  3      [ ]         STREAM     CONNECTE      5774     1823/rpc.idmapd     
unix  3      [ ]         STREAM     CONNECTE      5773     1823/rpc.idmapd     
unix  3      [ ]         DGRAM                    3367     344/udevd           
unix  3      [ ]         DGRAM                    3366     344/udevd 

TCP Established State

«ESTABLISHED» означает, что TCP-соединение установлено, т.е. квитирование было выполнено на уровне TCP / IP. Это необходимо до того, как процесс ssh вообще увидит какие-либо данные. Теоретически соединение может быть довольно длинным в режиме ESTABLISHED без отправки каких-либо данных в зависимости от установленных таймаутов (на уровне TCP и / или конфигурации sshd). Ожидайте входа в систему после этого.

iptraf

Чтобы узнать об этом подробнее, используйте iptraf для отслеживания объема трафика или посмотрите /var/log/auth.log (по крайней мере, в системе Debian), чтобы узнать, кто успешно вошел в систему.

Использование lsof

Команда lsof -i выводит список всех открытых файлов, связанных с подключениями к Интернету. По формату он похож на netstat -a -p.

lsof -i
lsof –i :22
lsof -i @linxsol.com #to check which hosts

Чтобы вывести информацию о сессиях TCP на вашем сервере lsof -i tcp @hostname: 22

Чтобы отобразить все открытые сетевые файлы IPv4, используемые процессом с PID 1234, используйте:

lsof -i 4 -a -p 1234

lsof выведет все подходящие соединения. В приведенных выше примерах будут перечислены соединения, прослушивающие или установленные на порту 22.

Использование netstat

 netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

 netstat -ntu | grep -v TIME_WAIT | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

 netstat -an | grep :80 | awk '{print $5}' | cut -f1 -d":" | sort | uniq -c | sort -n

Надеюсь, это поможет.

Вы можете настроить iptables для выхода из SSH-соединения с помощью следующей команды

    iptables -A OUTPUT -p tcp --syn --dport 22 -j LOG --log-prefix "SSH OUT DETECTED!!"

А затем отслеживайте / var / log / message, пока не найдете "SSH OUT DETECTED !!" на этом этапе вы можете проверить, какой процесс подключается, с помощью следующей команды

    netstat -antp | grep ESTA | grep :22 | grep -v sshd

Альтернативный способ - использовать инструмент nethogs:

Зачем беспокоиться о таком низком сетевом стеке? netstat могу показать вам связи ...

/var/log/auth.log Должен показать вам журнал всего фактического sshd демон делал. Прокрутка журналов должна показать больше, чем netstat,iptables, или любое другое исследование TCP (и вниз).