conexão iniciada a partir do linux localhost

1

Um dos servidores linux foi comprometido e algumas das conexões estão sendo originadas de localhost para um local remoto, colocando as informações que residem nele. Estou tentando rastrear todas as conexões de saída do meu servidor ..

Eu tentei

iptables -A OUTPUT -m tcp -p tcp --src 0/0  -j LOG  --log-prefix "LOCALHOST SOURCED IT" --log-level 7

, isso não mostra nenhum progresso em relação às regras já aplicadas ou em qualquer lugar ... alguém pode, por favor, orientar o que está errado aqui.

    
por busyboy 19.11.2014 / 13:44

1 resposta

1

Em caso de comprometimento, geralmente há duas ideias:

  • tire a máquina da rede AGORA, pois isso pode causar mais danos. Verifique como o bandido entrou e reconstrua a máquina a partir do zero sem essa lacuna específica. Apenas restaure a partir de backups o que exatamente foi verificado como "ok", não fique tentado a restaurar "o backup mais recente" e "remova alguns scripts suspeitos". Você não sabe quando o invasor entrou em sua caixa e, com um pouco de azar, sua restauração a partir do backup também pode reinstalar o rootkit do invasor ou outro malware.

  • crie informações forenses úteis e coloque a máquina offline depois.

A informação forense é mais do que isso:

  • link para tirar instantâneos de sua RAM em disco (ou rede)
  • tcpdump -s 0 -w dumpfile.pcap para capturar o tráfego de rede e depois analisar isso num hospedeiro diferente / dedicado, e. usando wireshark ou software similar.

De qualquer forma: - Esteja ciente de que o invasor não está limitado a tcp. eles também podem usar o udp ou qualquer protocolo baseado em ip. - Se o intruso ganhou acesso root, eles podem ter alterado os mecanismos de registro. Você não pode mais confiar nos registros da máquina, os logs podem ter sido filtrados.

Se você ainda quiser realizar alguns registros do iptables:

iptables -I OUTPUT -p tcp -j LOG --log-prefix "LOCALHOST SOURCED IT" --log-level 7

deve fazer o truque.

    
por 19.11.2014 / 14:32