Intereting Posts
Не удается запустить службу httpd из-за неправильного или неправильного пароля как дать yes в качестве опции по умолчанию для apt-get install в ubuntu Как определяется желаемый статус в диспетчере пакетов Debian? Заблокирован pamd. Помогите! Плазма KDE сломалась после обновления SSH туннелирование формирования исходящего трафика Некоторые папки всегда отсутствуют с помощью Rsync на сервере Что это за синтаксис Bash: someVariable = someValue Как заставить `less -FX 'играть хорошо с помощью командной строки с двумя строками alias -g '$ {1 + "$ @"}' = '"$ @"', что он делает? kill -9 не работает из скрипта bash, но работает в консоли Как добавить файл PDF в другой файл PDF после указанной страницы? Использование tar для резервного копирования и восстановления пути, установленного с помощью overlayfs XMonad не очищает экран при изменении рабочего пространства «Echo» содержимое html для файла в perl

Прерывистые сетевые подключения – CentOS

У меня очень странная проблема на одном из моих серверов, которые, кажется, теряют связи каждые несколько минут:

он работает на 64-битной архитектуре CentOS 6.5, и он часто испытывает сетевые отключения.

Я изолировал ошибку через серию TCPDUMPS, но я заметил, что мой сервер, похоже, совершает несколько звонков на неизвестный IP-адрес на порт назначения 6004

10:26:09.323489 IP xxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [S], seq 4085665640, win 14600, options [mss 1460,sackOK,TS val 57778507 ecr 0,nop,wscale 7], length 0 10:26:09.325540 IP 103.233.80.202.static.krypt.com.6004 > xxxxx.43725: Flags [S.], seq 1064636205, ack 4085665641, win 64240, options [mss 1400,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0 10:26:09.325561 IP xxxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [.], ack 1, win 115, options [nop,nop,TS val 57778509 ecr 0], length 0 10:26:09.325855 IP xxxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [P.], seq 1:29, ack 1, win 115, options [nop,nop,TS val 57778509 ecr 0], length 28 

вот пример вывода одного из этих соединений через netstat:

 tcp 0 0 XX.XX.XX.XX:43730 103.233.80.202:6004 ESTABLISHED 1218/netstat -an 

Мне кажется, что соединение выходит из моего сервера в IP-адрес в Таиланде на порту 6004.

Я проследил это до процесса, выполняемого root:

 root 1218 1 60 10:11 ? 00:14:49 netstat -an 

Я попытался заблокировать эти IP-адреса на iptables, но он действует только как временное решение. (а также связанный с ними процесс), но я замечаю, что проблема снова повторится через пару часов. пока я остановил сервер, но я не уверен, как это исходить отсюда. (Прекращение полной переустановки)

Любые идеи о том, что я могу сделать, чтобы отследить это на чем-то на сервере?

Я подозреваю, что ваша система, похоже, скомпрометирована ботом. Из вашего описания это вполне может быть вариант ChinaZ.DDOS.

Эти бот-сети обычно сканируют и атакуют уязвимые серверы и устанавливают вредоносное ПО.

Я бы рискнул сказать, что вы можете потерять соединение, потому что ваш брандмауэр или маршрутизаторы получают от него слишком много соединений, и либо какая-то таблица исчерпана, либо у них есть конфигурации смягчения DDoS и временно блокируется.

Я рассматриваю сервер как скомпрометированный и переустанавливаю его.

Возможно, вы захотите запустить его в защищенной сети, чтобы изучить поведение и использовать возможность узнать о безопасности.

Загрузите и запустите maldetect и / или антивирус, чтобы узнать, узнаете ли вы, что у вас есть. Используйте sysdig или dtrace4linux для отслеживания системных вызовов, доступа к файлам и сети, а также различной активности системы.

Я оставлю ссылку. Может или не может быть этого, дальнейшее расследование скажет вам иначе.

http://blog.malwaremustdie.org/2014/11/china-elf-botnet-malware-infection.html

Я оставлю вам несколько связанных ссылок на инструменты:

Linux Malware обнаруживает https://www.rfxn.com/projects/linux-malware-detect/

dtrace4linux https://github.com/dtrace4linux

sysdig http://www.sysdig.org

Что касается процедур, то этой версии CentOS уже 2 года, и не было никаких обновлений в течение года, если я не ошибаюсь. Любые серверы, подключенные к Интернету, должны быть обновлены, или это обязательно произойдет. Из-за аналогичного происшествия у меня уже произошел сбой сети.