Security
如何找到發送數據包的linux使用者
我們的伺服器遭到入侵,我們想知道哪些帳戶從我們的伺服器發送了惡意查詢。我用 tcpdump 來得到這個:
our.host.net.48194 > box5596.bluehost.com.http: Flags [P.], cksum 0x0bf8 (incorrect -> 0x5061), seq 0:741, ack 1, win 229, options [nop,nop,TS val 260555861 ecr 3817788688], length 741: HTTP, length: 741 POST /xmlrpc.php HTTP/1.1 Host: www.devynamaya.com User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0 Content-Length: 484 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip Connection: close <?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value><array><data><value><string>admin</string></value><value><string>password123</string></value></data></array></value></data></array></value></member></struct></value></data></array></value></param></params></methodCall>[!http]
另一方面,我安裝了不同的其他工具,例如,,
clamav
…等。對於 tcpdump 數據包,我使用.chrootkit``rkhunter``wireshark
問題是我似乎找不到發送該數據包的使用者,因此我可以暫停他們的 cpanel 帳戶。
是否有任何工具可以幫助跟踪被入侵的帳戶?我們在這台伺服器上有數百名使用者,這就像大海撈針。
如果我不知道哪個客戶端的網站受到攻擊,那麼分析數據包將毫無用處。
謝謝 !
大多數受感染的帳戶/伺服器往往在其中包含惡意軟體,這些惡意軟體會發送我們的惡意查詢、由於受感染的文件而發送的垃圾郵件等。此時分析數據包會有點困難且毫無用處。
您可以做的是使用Maldet掃描使用者文件根目錄
我以前使用過maldet,它是一個很棒的工具,它有自己的簽名數據庫,當clamav 安裝並可用時,它使用clamav 作為引擎。