আমি আমার সার্ভারে এনএম্যাপ চালিয়ে এক অদ্ভুত বন্দর খোলা অবস্থায় দেখতে পেলাম। আমি একটি নির্দিষ্ট প্রক্রিয়াতে সেই বন্দরটি ম্যাপ করার কোনও উপায় আছে কিনা তা খুঁজে বের করার চেষ্টা করছি তবে এ জাতীয় কোনও সরঞ্জাম আছে কিনা সে সম্পর্কে কোনও ধারণা নেই।
কোন পরামর্শ?
উত্তর:
পাশাপাশি অন্যান্য পোস্টে উল্লিখিত নেটস্যাট, lsof কমান্ডটি ঠিক এটি জরিমানা করতে সক্ষম হওয়া উচিত। কেবল এটি ব্যবহার করুন:
lsof -i :<port number>
এবং সমস্ত প্রক্রিয়া উঠে আসা উচিত। আমি এটি প্রায়শই ওএস এক্সে ব্যবহার করি on
আপনার যে সরঞ্জামটির প্রয়োজন তা হ'ল lsofযা ফাইলগুলি (এবং সকেট এবং পোর্ট) তালিকাভুক্ত করবে। এটি সম্ভবত ইনস্টল করা আছে এবং এটি সম্ভবত আক্রমণকারীর সংস্করণ, যার অর্থ এটি আপনার কাছে মিথ্যা ।
এটি আসলে একটি রুটকিট। আমি এই আচরণটি আগেও দেখেছি এবং এটি সর্বদা একটি রুটকিট। আপনার সিস্টেমে আপোস করা হয়েছে এবং আপনি একই সরঞ্জাম থেকে উদ্ভূত যে কোনও সরঞ্জাম ব্যবহার করছেন তা বিশ্বাস করা যায় না। একটি লাইভ সিডি বুট করুন (যা কেবলমাত্র পঠনযোগ্য বিশ্বস্ত বাইনারি রয়েছে) এবং আপনার ডেটা, সেটিংস ইত্যাদি বের করতে এটি ব্যবহার করুন আপনার কাছে যে কোনও প্রোগ্রাম ছিল, যে কোনও স্ক্রিপ্ট ছিল, সেগুলি পরিত্যাগ করুন । এনে দেবেন না । তাদের এবং সিস্টেমটিকে চিকিত্সা করুন, যেন তাদের কুষ্ঠরোগ রয়েছে, কারণ তারা তা করে ।
যত তাড়াতাড়ি সম্ভব এটি করুন।ওহ, এবং আপনার নেটওয়ার্ক সংযোগটি প্লাগ করুন - আপনার আক্রমণকারী অ্যাক্সেসটিকে অস্বীকার করুন।
netstat -anp
"-P" এটিকে যে প্রক্রিয়া-আইডি বন্দরটি খোলা আছে তার তালিকাবদ্ধ করতে বলে। -An এটি শ্রবণ পোর্টগুলি তালিকাভুক্ত করতে এবং নামগুলি সমাধান না করার জন্য বলে। ব্যস্ত সিস্টেমগুলিতে যা এটি কত দ্রুত ফিরে আসে তা দ্রুত গতিতে পারে।
netstat -anp | গ্রেপ "তালিকা"
এটি আপনাকে খোলা বন্দরগুলি দেবে।
আপনি যদি অপারেটিং সিস্টেমের সরঞ্জাম দিয়ে বন্দরটি খোলা দেখতে না পান এবং আপনার কোনও অনুপ্রবেশের সন্দেহ হয় তবে এটি হতে পারে যে কোনও রুটকিট ইনস্টল করা হয়েছে।
রুটকিট নির্দিষ্ট প্রসেস এবং পোর্টগুলি বা কার্নেল মডিউল পরিবর্তনের জন্য সিস্টেম সরঞ্জাম পরিবর্তন করতে পারে।
আপনি বেশ কয়েকটি স্বয়ংক্রিয় সরঞ্জাম সহ রুটকিটের জন্য পরীক্ষা করতে পারেন। 'আপ্ট-ক্যাশে অনুসন্ধানের রুটকিট' উবুন্টুতে নিম্নলিখিতটি দেখায়:
chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner
unhide - Forensic tool to find hidden processes and ports
যদি আপনার কাছে কোনও রুটকিট থাকে তবে আপনি আপনার সিস্টেমে 'পরিবর্তিত'টিকে ফিরিয়ে আনতে পারবেন তবে আমি আপনাকে পরামর্শ দিচ্ছি যে কীভাবে অনুপ্রবেশ করা হয়েছিল তা খুঁজে বের করুন এবং সিস্টেমটি পুনরায় না করার জন্য কঠোর করুন।
এগুলি উবুন্টুর কাছে একচেটিয়া নয়, আপনি সেগুলি সেওটিওএসেও ব্যবহার করতে পারেন। কেবল প্যাকেজটি সন্ধান করুন বা তাদের পৃষ্ঠা থেকে এটি ডাউনলোড করুন।
এই বন্দরের আউটপুট থেকে মনে হয় আপনি প্রকৃতপক্ষে প্যাকানাইয়ার চালাচ্ছেন: " Ы <অন্তর্নিহিত" "" দয়া করে <<<< টিপুন "যা একেবারেই স্বাগত বার্তা is প্রক্রিয়া প্রক্রিয়া তালিকায় কেন প্রদর্শিত হচ্ছে তা আমি জানি না। আপনি কি মূল?
এটি একবারে প্রক্রিয়া চলছে কি না তা দেখতে আপনি পুনরায় চেষ্টা করতে পারেন।
@Bjtitus দ্বারা উত্তরটি ব্যাখ্যা করতে আপনি কিছু খুব বিস্তারিত তথ্য পেতে পারেন, উদাহরণস্বরূপ:
$ lsof -i :8000
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
squid3 1289 proxy 15u IPv6 14810490 0t0 TCP *:8000 (LISTEN)
$ ps -fp 1289
UID PID PPID C STIME TTY TIME CMD
proxy 1289 1 0 09:48 ? 00:00:00 /usr/sbin/squid3 -N -f /etc/squid-deb-proxy/squid-deb-proxy.conf
আমি ঠিক সেখানে দেখতে পাচ্ছি যে স্কুইড প্রক্রিয়া, তবে বাস্তবে আমার squid-deb-proxyএটি বন্দরটি গ্রহণ করছে।
জাভা অ্যাপ্লিকেশনটির আরও একটি ভাল উদাহরণ:
$ lsof -i :4242
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
java 3075 root 86u IPv4 12019 0t0 TCP *:4242 (LISTEN)
$ ps -fp 3075
UID PID PPID C STIME TTY TIME CMD
root 3075 1 15 May24 ? 3-16:07:25 /usr/local/crashplan/jre/bin/java -Dfile.encoding=UTF-8 -Dapp=CrashPlanService -DappBaseName=CrashPl
আপনি lsof(লিস্ট ওপেন ফাইল) এ দেখতে পাচ্ছেন যে এটি জাভা, যা সহায়ক থেকে কম less psপিআইডি দিয়ে কমান্ডটি চালানো আমরা এখনই দেখতে পাচ্ছি এটি ক্র্যাশপ্ল্যান।