Администратор моей сети сказал, что наш сервер пытается сканировать порт 445. Мы используем наш сервер по двум причинам. 1. Веб-сервер, 2. Шлюз для ноутбука нашего коллеги.
Как я могу найти вредоносный код? Как я могу узнать, работает ли он на нашем сервере?
Если вредоносный процесс привязан к порту, вы можете идентифицировать указанный процесс с помощью netstat -ltnp | grep 445 . Оттуда вы можете использовать ps ax | grep YOUR_PID для сопоставления идентификатора процесса, возвращаемого netstat, с действующим рабочим кодом.
Если это не работает для вас, вы можете установить Fail2Ban (неплохая идея, даже если у вас не было проблем, с которыми вы сталкиваетесь) и позволить ему выяснить, что продолжает сканировать этот порт. К вашему сведению, порт 445 используется Samba, поэтому сосредоточьтесь на вещах, связанных с совместным использованием файлов, чтобы быстро сузить проблему.
