最后防线:Linux主机入侵外连行为检测
最后防线:Linux主机入侵外连行为检测
血狼debugeeker
发布于 2021-01-29 10:32:26
发布于 2021-01-29 10:32:26
文章被收录于专栏:debugeeker的专栏
主机入侵检测系统系列:这一篇讲述检测外连行为的原理和技术,可统一检测宿主机和docker子机
一台主机入侵后,入侵者往往会把数据发送出去或启动reverse shell。一般在IDC的出口防火墙都会有检测异常外连行为,可能由于中间有NAT,并不一定知道是哪台机器过来,但即使是知道哪台机器过来的,也不知道是该台机器哪个程序发起的外连行为。
通常的操作,都是用netstat命令来获取
[root@bogon-agent test]# netstat -anp4
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:42485 0.0.0.0:* LISTEN 33041/node
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1640/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1885/master
tcp 0 0 127.0.0.1:55622 127.0.0.1:42485 ESTABLISHED 25101/sshd: buckxu@
tcp 0 0 127.0.0.1:42485 127.0.0.1:50352 ESTABLISHED 33041/node
tcp 0 0 127.0.0.1:42485 127.0.0.1:55622 ESTABLISHED 25171/node
tcp 0 0 127.0.0.1:50354 127.0.0.1:42485 ESTABLISHED 128902/sshd: buckxu
tcp 0 0 192.168.190.129:45782 192.168.190.128:1514 ESTABLISHED 2109/ossec-agentd
tcp 0 0 127.0.0.1:50352 127.0.0.1:42485 ESTABLISHED 128902/sshd: buckxu
tcp 0 0 192.168.190.129:22 192.168.190.1:62331 ESTABLISHED 25087/sshd: buckxu
tcp 0 0 127.0.0.1:42485 127.0.0.1:50354 ESTABLISHED 128969/node
tcp 0 0 127.0.0.1:42485 127.0.0.1:55620 ESTABLISHED 33041/node
tcp 0 0 192.168.190.129:22 192.168.190.1:52429 ESTABLISHED 128898/sshd: buckxu
tcp 0 0 127.0.0.1:55620 127.0.0.1:42485 ESTABLISHED 25101/sshd: buckxu@
udp 0 0 0.0.0.0:68 0.0.0.0:* 103880/dhclient 但如果放在HIDS(主机入侵检测系统)实现,就不可能调用命令,原因如下:
- 有些Linux机器可能没有安装
netstat命令 - 即使有
netstat命令,也可能由于之前的操作,导致netstat运行时依赖的so库缺失或符号缺失,导致无法执行这个命令 -
netstat命令执行有异常,变成僵尸进程 -
netstat命令在宿主机是没办法查到docker里的外连行为
按照Unix哲学,一切皆文件,像端口和进程信息这些内容都可以从/proc文件系统下找到,所以HIDS是会/proc获取这些信息。
下面拿上面命令结果的2109/node来做例子展示这种手段。
更多内容请关注个人公众号“debugeeker", 链接为最后防线:Linux主机入侵外连行为检测
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2021/01/23 ,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
