Desde alguns dias atrás eu tenho observado algum estranho tráfego UDP de saída recorrente do meu servidor na porta 24441, mas como não é constante, não consigo encontrar o que está causando isso.
Tudo o que posso ver é o seguinte nos logs do iptables:
Nov 15 00:46:33 server kernel: [17216276.676673] Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=<SERVER_IP> DST=5.9.124.53 LEN=192 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=60641 DPT=24441 LEN=172 UID=501 GID=513
Eu suspeito que seja algum tipo de malware sendo executado periodicamente no meu servidor, mas quero descobrir o que exatamente. Alguém pode lançar uma luz sobre como capturar isso / logar a fonte disso automaticamente quando isso acontece? Estou executando o Centos 6.7. Obrigado!
Isso deve ser feito, executado continuamente, mas eu não testei :).
#!/bin/bash
tail -f iptables.log | grep "UDP_OUT Blocked" | sed 's/^.*SPT=//g
s/\s.*$//g' | ( while read portnum
do
netstat --inet --program --udp --all -v -n | grep "$portnum"
done ) 2>&1 | tee suspicious.log
Tail, grep, sed extrai uma lista de números de porta de origem que foram bloqueados e o netstat obtém as informações do programa.