Portál AbcLinuxu, 27. dubna 2024 17:12
Řešení dotazu:
No spíše bych zjištoval, kdo procesy spouští.Uživatelé.
také to muže být tak že do web serveru byl injektován skript, který tohle dělá a pak zavolání zvně přislušné url akci spustíPokud to je tento případ, tak nejspíš zjistí, že to spustil proces php-fcgi (nebo webserver pokud má modul). To se pak řeší blbě.
Pokud je to spojení otevřené dostatečně dlouho, což by zrovna v případě SMTP mohlo (některé MTA např. zobrazují banner s několikasekundovou prodlevou a zruší spojení těm, kdo na něj nepočkají), mohlo by stačit v cyklu spouštět
ss -ntp dport == :25
a pak si ho tam najít. Pokud byste to nechtěl sledovat trvale, ale reagovat jen na navázání nového spojení, tak by šlo použít buď netfilter a target NFLOG
nebo libpcap, ale to je oboje trochu složitější.
Nebo můžete zkusit auditovat syscall connect()
:
auditd auditctl -a exit,always -S connect ausearch -sc connect
Ale zpracování výsledků bude chtít trochu práce.
Tiskni Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.