Como determinar o processo que faz a solicitação de DNS? [duplicado]

1

Eu tenho um servidor na AWS, o GuardDuty começou a me enviar notificações:

*** "type":"Backdoor:EC2/C&CActivity.B!DNS",
*** {"domain":"libcurl.so","protocol":"UDP","blocked":false}
*** is querying a domain name associated with a known Command & Control server. ***

Eu verifiquei o servidor com todas as ferramentas de segurança possíveis e nada foi encontrado. Com tcpdump -A , vi meu servidor enviar esse tipo de solicitação sobre esse domínio. Eu liguei o auditd. Mas nada de estranho foi encontrado.

Minha pergunta é: como determinar qual processo envia exatamente essa solicitação?

    
por kbu 12.10.2018 / 15:13

2 respostas

2

Eu tenho medo que com as capturas normais de pacotes não há como identificar o PID dos pacotes, porque tudo o que você pode ver é de que porta o pacote foi enviado.

Você pode usar o netstat para identificar quem está usando essa porta, mas o DNS leva milissegundos para que você tenha muita sorte.

O Systemtap pode ser usado para descobrir qual processo enviou pacotes do udp para o dns usando o exemplo de script systemtap: link

Última solução fornecida pela AWS: Se você não conseguir identificar e interromper atividades não autorizadas em sua instância do EC2, recomendamos que você termine a instância do EC2 comprometida e substitua-a por uma nova, conforme necessário.

    
por 12.10.2018 / 16:41
2

Resposta oficial da AWS:

The GuardDuty team has confirmed this to be a false positive. The domain "libcurl.so" has been removed from the source threat intelligence list.

FYI: as senhas não são fracas e outras práticas recomendadas foram realizadas. OSSEC, Tripwire e outras coisas estão no servidor.

    
por 12.10.2018 / 20:49