Задать вопрос

Как найти злоумышленника на своём сервере?

Hetzner прислал письмо такого содержания
Естественно сразу зашёл, команду тык
netstat -tulpn | grep 58519
Пусто.
Как вычислить?
  • Вопрос задан
  • 118 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
@Drno
Там же исходящий порт..
Дропни фаерволом все коннекты для локальных подсетей во вне

У тебя там виртуалки?
Ответ написан
hint000
@hint000
у админа три руки
netstat -tulpn
опция -l тут неуместна, она для показа слушающих портов, а ваша злоумышь может вообще ничего не прослушивать, а только самостоятельно отправлять пакеты (получение ответного пакета не подразумевает прослушивание порта).
Так что netstat -tupn | grep 58519могло бы показать, кто отправляет пакеты на порт 58519, если атака продолжается на момент запуска команды. Но злоумышь может к этому моменту пробовать отправку на другой порт (в таком случае его можно обнаружить, убрав grep по конкретному номеру порта). Но злоумышь может и приостановить атаку на неопределённое время, тогда найти гораздо сложнее.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы