На этот вопрос уже есть ответ:
Мой веб-сервер работает под управлением Ubuntu 12.04.2 LTS со всеми установленными обновлениями безопасности. Он используется в качестве веб-прокси-сервера, который обрабатывает входящие запросы по HTTP / 80 HTTPS / 443, но также получает веб-контент с других серверов, используя соединения HTTP / HTTPS. Сервер также использует соединение HTML5 WebSocket для отправки обновлений в реальном времени пользователям клиентов.
Я получил уведомление от трех отдельных домашних пользователей о том, что мой сервер якобы выполнил сканирование портов на их IP-адресах. К сожалению, я знаю только дату и время предполагаемого сканирования портов, но не знаю IP-адрес или порт назначения. Кроме того, я не уверен, были ли это ложные срабатывания сигнализации или мой сервер действительно был взломан.
До сих пор я провел предварительный анализ с помощью netstat -anltp, чтобы проверить, есть ли подозрительный трафик. При проверке все в порядке, так как есть только HTTP-соединения. Вдобавок я выполнил команду «ps aux», чтобы вывести список всех запущенных процессов, но должен признать, что на этом этапе я немного потерялся.
Какие дальнейшие действия можно выполнить для обнаружения подозрительного трафика? Какие файлы журналов следует проверять? Какие журналы необходимо включить для обнаружения подозрительного исходящего трафика в будущем? Какие сторонние инструменты могут обнаруживать дальнейшее сканирование исходящих портов?
Инструмент, который может обнаруживать исходящие сканы портов, - это tcpdump. Запустите tcpdump -i eth0 -w dump
, а затем спокойно прочтите данные дампа, соответствующие пакетам, отправленным в эти даты.
Также спросите у пользователей их IP-адреса, если они статические.
Просмотрите /var/log/auth.log
и last -100
, чтобы узнать, не злоупотреблял ли кто-то вашей системой, проверьте наличие подозрительных заданий cron, загляните в каталог / root, если что-то странно появилось. В этих случаях важен инструмент для хэширования системных файлов (например, tripwire).