Похоже, что кто-то использует мой сервер Mac OS X, чтобы атаковать перебором другого сервера, который является LDAP. Что я могу сделать, чтобы остановить это?

Сервер LDAP на другом сервере сообщает о необычно большом количестве попыток чтения каталога LDAP и попытках нескольких пользователей, и все они выглядят как попытки взлома для чтения информации о пользователе / ​​пароле. Это случается каждую минуту. Он сообщает, что исходным IP-адресом является Mac OS X 10.4 Tiger Server, который является файловым сервером в сети для iMac.

Когда я бегу lsof -i:ldap +c 0 на сервере Mac возвращается

COMMAND          PID USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
DirectoryService  60 root   11u  IPv4 0x38de228      0t0  TCP mymacserver.com:50106->myldapserver.com:ldap (ESTABLISHED)

Бег ps -Aj дает

USER PID PPID PGID    SESS JOBC STAT TT     TIME COMMAND
[...]
root  60    1   60 290c7e4    0 Ss   ??  0:19.00 /usr/sbin/DirectoryService

Бег cat /Library/Logs/DirectoryService/DirectoryService.server.log дает

2012-02-15 15:01:29 EST - DirectoryService 2.1 (v353.6) starting up...
2012-02-15 15:01:29 EST - Initializing TCP ...
2012-02-15 15:01:29 EST - Plugin <Configure>, Version <1.7>, processed successfully.
2012-02-15 15:01:29 EST - Plugin <NetInfo>, Version <1.7.4>, processed successfully.
2012-02-15 15:01:29 EST - Plugin <LDAPv3>, Version <1.7.4>, processed successfully.
2012-02-15 15:01:29 EST - Plugin <Search>, Version <1.7>, processed successfully.
2012-02-15 15:01:29 EST - Plugin "Active Directory", Version "1.5.8", is set to load lazily.
2012-02-15 15:01:29 EST - Plugin "AppleTalk", Version "1.3", is set to load lazily.
2012-02-15 15:01:29 EST - Plugin "Bonjour", Version "1.3", loaded successfully.
2012-02-15 15:01:29 EST - Plugin "BSD", Version "1.2.2", is set to load lazily.
2012-02-15 15:01:29 EST - Plugin "PasswordServer", Version "3.1.2", is set to load lazily.
2012-02-15 15:01:29 EST - Plugin "SLP", Version "1.3.1", is set to load lazily.
2012-02-15 15:01:29 EST - Plugin "SMB", Version "1.3", is set to load lazily.
2012-02-15 15:01:29 EST - Registered node /Configure
2012-02-15 15:01:29 EST - Registered node /Search
2012-02-15 15:01:29 EST - Plug-in Configure state is now active.
2012-02-15 15:01:29 EST - Registered node /Search/Contacts
2012-02-15 15:01:29 EST - Registered node /Search/Network
2012-02-15 15:01:29 EST - Plug-in Bonjour state is now active.
2012-02-15 15:01:29 EST - Plug-in Search state is now active.
2012-02-15 15:01:29 EST - Plug-in LDAPv3 state is now active.
2012-02-15 15:01:29 EST - Registered node /NetInfo/DefaultLocalNode
2012-02-15 15:01:29 EST - Plug-in NetInfo state is now active.
2012-02-15 15:01:32 EST - Network transition occurred.
2012-02-15 15:01:35 EST - Registered Locally Hosted Node /NetInfo/DefaultLocalNode
2012-02-15 15:01:41 EST - Network transition occurred.
2012-02-15 15:01:41 EST - Network transition occurred.
2012-02-15 15:01:41 EST - Network transition occurred.

(Время, когда сервер был перезагружен несколько часов назад.) Это продолжалось в течение нескольких дней.

Есть ли способ узнать, что вызывает DirectoryService каждую минуту?

Я не могу использовать netstat -p, поскольку Mac OS X 10.4 Tiger не поддерживает -p вариант.

Мне нужно отключить этот вредоносный скрипт, но я не могу полностью отключить клиент LDAP, так как пользователи полагаются на этот сервер для хранения файлов и идентификаторов пользователей.

РЕДАКТИРОВАТЬ:

Я побежал sudo killall -USR1 DirectoryService включить отладку журнала, и кажется, что memberd а также lookupd Вызов службы каталогов.

1 ответ

Обычный шип:

  • Вытащить сервер из сети.
  • Полностью стереть его, начать переустановку из известных безопасных источников (диски ОС)
  • Переустановите все.
  • Удостоверьтесь, что вы не делаете ошибок и исправляете все.
  • Восстановите данные из резервной копии.

это не "сценарий", вы не знаете, что еще может установить хакер.

Другие вопросы по тегам