natpass 被用于黑客攻击,如何侦测？

Question

woshidama323 opened this issue a year ago · comments

目前我们服务器被攻击，发现natpass-cli 启用6145 作为端口，

如何侦测通过natpass 进程服务？

lwch · Answer 1 · Mon Jan 16 2023 17:04:10 GMT+0800 (China Standard Time)

natpass创建连接时有一次握手的过程，内容可通过握手报文进行识别，如果未进行tls加密的话可通过这个握手报文进行阻断。

lwch · Answer 2 · Mon Jan 16 2023 17:06:17 GMT+0800 (China Standard Time)

另外建议修改或加强common.yaml中的密钥长度提高安全性

lwch · Answer 3 · Mon Jan 16 2023 17:17:17 GMT+0800 (China Standard Time)

另外可以通过修改/etc/systemd/system/np-cli.service中的User字段使其运行在一个低身份的用户下，比如nobody

natpass 被用于黑客攻击,如何侦测 ？