Несколько дней назад я наблюдал какой-то странный повторяющийся исходящий UDP-трафик с моего сервера на порт 24441, но, поскольку он не постоянный, я не могу найти причину этого.
Все, что я вижу в журналах iptables:
Nov 15 00:46:33 server kernel: [17216276.676673] Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=<SERVER_IP> DST=5.9.124.53 LEN=192 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=60641 DPT=24441 LEN=172 UID=501 GID=513
Я подозреваю, что с моего сервера периодически запускается какая-то вредоносная программа, но хочу узнать, что именно. Может ли кто-нибудь пролить свет на то, как автоматически обнаруживать это / регистрировать источник этого, когда это происходит? Я использую Centos 6.7. Спасибо!
Это должно работать, работать постоянно, но я не тестировал :).
#!/bin/bash
tail -f iptables.log | grep "UDP_OUT Blocked" | sed 's/^.*SPT=//g
s/\s.*$//g' | ( while read portnum
do
netstat --inet --program --udp --all -v -n | grep "$portnum"
done ) 2>&1 | tee suspicious.log
Tail, grep, sed извлекают список номеров исходных портов, которые были заблокированы, а netstat получает информацию о программе.