Linux應急響應（二）：捕捉短連線

摘要： 0x00 前言 短連線（short connnection）是相對於長連線而言的概念，指的是在資料傳送過程中，只在需要傳送資料時，才去建立一個連線，資料傳送完成後，則斷開此連線，即每次連線只完成一項業務的傳送。 在系統維護中，一般很難去察覺，需要藉助網路安全裝置或者抓包分析，才能夠去發...

0x00 前言

短連線（short connnection）是相對於長連線而言的概念，指的是在資料傳送過程中，只在需要傳送資料時，才去建立一個連線，資料傳送完成後，則斷開此連線，即每次連線只完成一項業務的傳送。 在系統維護中，一般很難去察覺，需要藉助網路安全裝置或者抓包分析，才能夠去發現。

0x01 應急場景

某天，網路管理員在出口WAF檢測到某臺伺服器不斷向香港I發起請求 ，感覺很奇怪，登入伺服器排查，想要找到發起短連線的程序。

0x02 日誌分析

登入伺服器檢視埠、程序，並未發現發現伺服器異常，但是當多次重新整理埠連線時，可以檢視該連線。 有時候一直刷這條命令好十幾次才會出現，像這種的短連線極難捕捉到對應的程序和原始檔。

手動捕捉估計沒戲，很難追蹤，於是動手寫了一段小指令碼來捕捉短連線對應的pid和原始檔。

指令碼檔案如下：

#!/bin/bash
ip=118.184.15.40
i=1
while :
do
tmp=`netstat -anplt|grep $ip|awk -F '[/]' '{print $1}'|awk '{print $7}'`
#echo $tmp
if test -z "$tmp"
then
((i=i+1)) 
else
for pid in $tmp; do
echo "PID: "${pid}
result=`ls -lh /proc/$pid|grep exe`
echo "Process: "${result}
kill -9 $pid
done
break
fi 
done
echo "Total number of times: "${i}

執行結果如下：

跑了三次指令碼，可以發現短連線每次發起的程序Pid一直在變，但已經捕捉到發起該異常連線的程序原始檔為 /usr/lib/nfsiod

0x04 小結

本文簡單介紹了短連線以及捕捉短連線原始檔的技巧，站在安全管理員的角度，應加強對網路安全裝置的管理，在網路層去發現更多在系統層很難察覺的安全威脅。

本文由Bypass原創釋出，轉載請保留出處。歡迎關注我的個人微信公眾號：Bypass--，瀏覽更多精彩文章。