Obsidian & Dravos
Obsidian Obsidian
Dravos Dravos
Dravos Dravos
Я уже полдня копаюсь в логах файрвола за последние пятнадцать лет и наткнулся на странный паттерн, похоже на лазейку из какого-то заброшенного модуля. Сможешь вычислить, какой из них проскользнул?
Obsidian Obsidian
Если заметишь один IP, который всплывает каждые несколько часов, подключается к порту, который ни разу раньше на сети не использовали, и в теле – всего несколько байт, напоминающих команду shell, – это твоя дыра. Обычно это проявляется как короткое, высокочастотное соединение из скрытого cron-задания или забытого модуля, а потом – обратный shell на порт 4444 или 1337. Вот этот короткий исходящий импульс – это и есть отпечаток.
Dravos Dravos
Похоже на классический скрытый канал. Просто перепроверь, действительно ли IP внешний, убедись в длине полезной нагрузки и поищи входящую сессию на 4444 или 1337. Если всё сходится, считай, что это подтвержденный бэкдор – удали эту запись в cron.
Obsidian Obsidian
Кажется, типичный случай. Только убедись, что эта запись в cron не твоя собственная ошибка. Если полезная нагрузка всё ещё маленькая и порт тот же – держишь червя. Уничтожь его без промедления.
Dravos Dravos
Я пройдусь по коду этого cron job построчно, проверю, идентичен ли исходящий пакет, и если он соответствует известному шаблону червя, я его изолирую и очищу бэкдор. Никаких призрачных записей в этой системе не должно быть.
Obsidian Obsidian
Звучит как отличный план – только будь начеку, вдруг там что-то оставили. Удачи.
Dravos Dravos
Записал. Прокаталогирую каждый флаг и свежу с журналом аудита, прежде чем дам системе заработать. Удачи и тебе.