Como descobrir o que está iniciando uma varredura de porta à noite do meu Linux?

Navegue suas respostas
5

Eu tenho vários servidores Linux (principalmente Debian) rodando em uma plataforma Proxmox. Todos eles se conectando à Internet através de uma linha ADSL, com apenas um IP público.

Um deles está executando o OMD (distribuição aberta de monitoramento) há mais de um ano para monitorar um servidor EXTERNAL (outra rede, monitorada através do ADSL que se conecta à Internet.

Agora recebi uma mensagem dos proprietários do servidor remoto informando que eles detectaram uma varredura de porta executada à noite a partir do meu IP público ADSL varrendo suas portas abertas.

É a segunda vez que isso acontece comigo com um sistema Debian: (

Eu preciso detectar o processo que executa essa verificação

  • como posso descobrir qual processo está sendo iniciado que o portscan da caixa linux ofensiva? A dificuldade aqui é que eu preciso correr - o que for - para conhecer o processo quando a varredura acontece - o que pode acontecer em algum momento da noite -.
  • Existe uma maneira de obter uma lista de processos que, de alguma forma, foram iniciados e concluídos entre duas vezes (ou seja, novos processos iniciados de 23:00 a 03:00)

Obrigado antecipadamente

    
por Eduardo R. 21.08.2015 / 12:36

1 resposta

2

A melhor maneira de acompanhar esse comportamento indesejado é coletar registros da atividade da sua máquina de tempos em tempos.

A execução de um script a cada 15 minutos com cron que analisará as conexões de rede abertas pode ser o melhor caminho a seguir.

Eu aconselho você a usar o comando lsof e coletar informações sobre a conexão de rede feita por sua máquina. Algo como: 

lsof [email protected] >> /tmp/my-connexions.log

Ou, se a sua máquina estiver digitalizando aleatoriamente e alterar os IPs verificados sempre que você puder (restringir somente as conexões TCP): 

lsof  -iTCP >> /tmp/my-connexions.log

O resultado de um comando lsof é o seguinte: 

iceweasel 31562 user 50u IPv4 13500060   0t0  TCP bill:47039->stackoverflow.com:https (ESTABLISHED)
iceweasel 31562 user 60u IPv4 13549538   0t0  TCP bill:60564->104.16.15.128:http (ESTABLISHED)
iceweasel 31562 user 61u IPv4 13578815   0t0  TCP bill:46285->185.45.5.43:https (ESTABLISHED)
iceweasel 31562 user 67u IPv4 13496262   0t0  TCP bill:47020->stackoverflow.com:https (ESTABLISHED)

Na extremidade esquerda de cada linha, você pode ver o nome do programa executando a conexão (que é a parte interessante no seu caso). O resto da linha descreve a conexão e o protocolo usado.

Você também pode olhar para auditctl (vem com o pacote auditd ) que registrará qualquer chamada de sistema de um programa para o kernel (o que é muito mais preciso do que executar um lsof de tempos em tempos). Você pode executar algo como (leia a documentação primeiro, como sempre!): 

auditctl -A exit,always -S connect
    
por 21.08.2015 / 15:21

Tags

Obtenha codificação consistente para todos os arquivos no diretório Como eu configuro o SSH para que o OTP possa ser usado com o ssh-copy-id e somente a autorização do keypair seja aceita?