înregistrare Logare
Puncte:0
avatar Server

Posibil atac asupra serverului meu - conexiune tcp/ip de ieșire

drapel gb
ChaosSpeeder

Am o situație suspectă pe vServerul meu (Centos 7). Un script bash necunoscut consumă toată memoria de pe server. Există o legătură vizibilă cu „exterior”.

Din păcate, cunoștințele mele Unix sunt limitate.

Cum pot interzice o conexiune la exterior pentru utilizatorul git?

Cum îmi pot da seama unde se află acest script bash, care este conținutul scriptului?

lsof -p 1577
COMANDA PID UTILIZATOR TIP FD DIMENSIUNEA DISPOZITIV/OPRIT NUMELE NODULUI
bash 1577 git cwd DIR 182,395665 4096 2 /
bash 1577 git rtd DIR 182,395665 4096 2 /
bash 1577 git txt necunoscut /proc/1577/exe (link de citire: nu există un astfel de fișier sau director)
bash 1577 git mem REG 182,395665 795648 (șters)/var/tmp/.ICE-unix/.bash/.bash/bash (stat: Nu există un astfel de fișier sau director)
bash 1577 git 0r FIFO 0,8 0t0 3801753555 pipe
bash 1577 git 1w FIFO 0,8 0t0 3801753556 pipe
bash 1577 git 2w FIFO 0,8 0t0 3801753556 pipe
bash 1577 git 3u REG 182.395665 0 5390 /tmp/.lock
bash 1577 git 4u 0000 0,9 0 4145 [eventpoll]
bash 1577 git 5r FIFO 0,8 0t0 3801755403 pipe
bash 1577 git 6w FIFO 0,8 0t0 3801755403 pipe
bash 1577 git 7r FIFO 0,8 0t0 3801755399 pipe
bash 1577 git 8w FIFO 0,8 0t0 3801755399 pipe
bash 1577 git 9u 0000 0,9 0 4145 [eventfd]
bash 1577 git 10r CHR 1,3 0t0 3801397120 /dev/null
bash 1577 git 11u IPv4 3801755495 0t0 TCP <IP serverul meu>:56542->**blackcat.ro:http** (INSTABILIT)
38
0 + 0
Puncte:1
willnode avatar Server
drapel us
willnode

În funcție de configurația dvs. de firewall existentă, acesta poate diferi. Dar de obicei ar trebui să aveți deja iptables firewall instalat.

(Notă: dacă aveți firewalld, nu poate bloca o adresă IP, vezi Aici pentru dezactivați-l și treceți la iptables)

Primul lucru pe care trebuie să-l știți este că nu puteți bloca o solicitare către un domeniu, dar puteți bloca folosind IP-ul.

Pentru a găsi IP-ul, utilizați nslookup. Spune nslookup blackcat.ro. Veți primi o listă de IP-uri, trebuie să le blocați pe toate. Este posibil să vedeți fie adrese IPv4, fie IPv6, utilizați una dintre comenzile de mai jos pentru a bloca.

iptables -A IEȘIRE -p tcp -d <IPv4> -j DROP
ip6tables -A IEȘIRE -p tcp -d <IPv6> -j DROP

Când ați terminat, salvați configurația curentă, astfel încât să nu se piardă.

/sbin/service iptables salvează
/sbin/service ip6tables salvare
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.