Wie feststellen welches Programm den Port belegt?
Hallo,
ich habe ein echtes Problem :(
netstat -an zeigt mir folgendes an:
tcp 0 0 188.40.120.2xx:3306 89.144.25.xx:48916
ESTABLISHED
tcp 0 0 188.40.120.2xx:3306 89.144.25.xx:37757
ESTABLISHED
tcp 0 0 188.40.120.2xx:3306 81.217.13.xx:4333
ESTABLISHED
tcp 0 0 188.40.120.2xx:3306 89.144.25.xx:46108
ESTABLISHED
(die x sind beabsichtigt)
Das Problem ist, dass mein Webspace Server 4 andere Server bruteforced auf
den SSH Port. Ich versuche seit einigen Stunden herauszubekommen welches
Programm das ist, aber nichts brachte mich zu einem Ergebnis. Die Verbindung
kommt immer vom Port 3306.
Wahrscheinlich ist ein Angreifer mit einer Shell via MySQL Lücke auf den
Server gelangt. Die netstat Verbindungen sind von dem User "www-data".
Wenn ich mich mit www-data einlogge und ps ux ausführe erhalte ich:
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
www-data 25119 0.0 0.0 51188 2356 pts/0 S 21:17 0:00 su www-data
www-data 25120 0.0 0.0 3944 568 pts/0 S 21:17 0:00 sh
www-data 25136 0.0 0.0 15064 1084 pts/0 R+ 21:17 0:00 ps ux
Eventuell ist der Prozess nicht sichtbar.
Gerade habe ich nochmal per www-data netstat -au ausgeführt nun erhalte ich
leider nurnoch:
$ netstat -au
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 djw-webspace:netbios-ns *:*
udp 0 0 *:netbios-ns *:*
udp 0 0 djw-webspac:netbios-dgm *:*
udp 0 0 *:netbios-dgm *:*
udp 0 0 localhost:38458 localhost:38458
ESTABLISHED
$
Per root user erhalte ich bei diesem Befehl leider immernoch diese
Verbindungen von Port 3306.
Hat jemand eine Idee von euch?
Würde mich über jede hilfreiche Antwort freuen.
Vielen Dank!
Gruß
Dennis
Reply to: