Mi ISP me detuvo en el trabajo por tener una máquina que hacía docenas de conexiones SSH salientes. Rastreé la máquina y la saqué de la red. El problema es que hay varias otras máquinas con configuraciones idénticas que potencialmente podrían sufrir un destino similar.
Puedo ver los intentos de conexión de salida usando tcpdump, pero tengo problemas para intentar rastrear el script o el proceso al realizar estos intentos de conexión. He estado tratando de usar netstat -plunt , ss -tp , lsof y varias utilidades de línea de comandos, pero no he podido obtener el proceso ofensivo. ¿Alguien tiene algún consejo sobre cómo rastrear procesos y aplicaciones en cajas comprometidas como esta?
sudo netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 1339/redis-server 1
tcp 0 0 0.0.0.0:5355 0.0.0.0:* LISTEN 1008/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1024/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1413/cupsd
tcp6 0 0 :::5355 :::* LISTEN 1008/systemd-resolv
tcp6 0 0 :::4949 :::* LISTEN 1022/perl
tcp6 0 0 :::22 :::* LISTEN 1024/sshd
tcp6 0 0 ::1:631 :::* LISTEN 1413/cupsd
udp 0 0 0.0.0.0:37790 0.0.0.0:* 938/avahi-daemon: r
udp 0 0 0.0.0.0:54446 0.0.0.0:* 1364/openvpn
udp 0 0 0.0.0.0:5353 0.0.0.0:* 938/avahi-daemon: r
udp 0 0 0.0.0.0:5355 0.0.0.0:* 1008/systemd-resolv
udp 0 0 127.0.0.53:53 0.0.0.0:* 1008/systemd-resolv
udp 0 0 0.0.0.0:631 0.0.0.0:* 1414/cups-browsed
udp6 0 0 :::53487 :::* 938/avahi-daemon: r
udp6 0 0 :::5353 :::* 938/avahi-daemon: r
udp6 0 0 :::5355 :::* 1008/systemd-resolv