我有一个对我来说有点高级的特定问题。在我的路由器日志中,我看到了以下几行:
Internal Prot. External NAT Time-out
192.168.0.167:56396 TCP 186.112.54.84:22 60753 54416
192.168.0.167:45776 TCP 62.213.111.201:23 62531 48429
我重新刷新了我的路由器,几天来这条线消失了,但现在它们又出现了。好的,今天的第二个 IP 地址来自俄罗斯。我访问了该站点(但为什么 telnet 端口为 23),我认为第一个来自 Columbia DSL 用户。我还记录了以下行:
192.168.0.167:39485 TCP 41.46.0.90:23 62635 53810
IP来自埃及。我无法在 Ubuntu 上使用netstat. 我也无法找到给定的连接。我也尝试过rkhunter,chkroot但它对我来说太先进了。你能给我一个提示如何在 Ubuntu (12.10) 上找到相应的进程
安装 ossec 后,我得到以下几行(以及其他):
** 警报 1357654774.6683:邮件 - 系统日志,错误,2013 年 1 月 8 日 15:19:34 rr->/var/log/auth.log 规则:1002(级别 2)->“系统中某处存在未知问题。” Jan 8 15:19:34 rr dbus[412]: [system] 拒绝发送消息,2 个匹配规则;type="method_call", sender=":1.62" (uid=1000 pid=2285 comm="/usr/lib/indicator-session/indicator-session-servi") interface="org.freedesktop.DBus.Properties" 成员="GetAll" error name="(unset)" requests_reply="0" destination=":1.19" (uid=0 pid=1157 comm="/usr/sbin/console-kit-daemon --no-daemon")
考虑使用debsums. 这可能会显示一些更改的内核(内核模块)或系统应用程序。我见过改变 OpenSSH 守护进程来隐藏活动和改变蓝牙内核模块,甚至在内核级别创建后门。我能够通过对通过包管理安装的系统上的所有二进制文件的自动校验和来找到它。
安装包debsums,例如
sudo apt-get install debsums
仅在输出上运行有错误的 debsum。
sudo debsums -s
某些文件可能丢失或某些软件包没有可用的 MD5sum。请注意更改的二进制文件。
此外,一定要熟悉 rootkit 猎人。我认为它们并不难使用。请务必使用最新版本和最新的恶意软件定义,以便找到最新的。但是,这不是防弹测试。我建议在security SE或unix SE上提出更具体的问题。
| 归档时间: |
|
| 查看次数: |
1313 次 |
| 最近记录: |