Parece que alguien está usando mi server de Mac OS X para atacar a la fuerza bruta otro server que es LDAP. ¿Qué puedo hacer para detenerlo?

Un server LDAP en otro está reportando un número inusualmente grande de bashs de leer el directory LDAP e intentar un número de usuarios, todos los cuales parecen bashs de hacking para leer información de usuario / contraseña. Esto ocurre cada minuto. Informa que el IP de origen es un server Mac OS X 10.4 Tiger que es un server de files en la networking para iMacs.

Cuando ejecuto lsof -i:ldap +c 0 en el server Mac, devuelve

 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME DirectoryService 60 root 11u IPv4 0x38de228 0t0 TCP mymacserver.com:50106->myldapserver.com:ldap (ESTABLISHED) 

Ejecutar ps -Aj da

 USER PID PPID PGID SESS JOBC STAT TT TIME COMMAND [...] root 60 1 60 290c7e4 0 Ss ?? 0:19.00 /usr/sbin/DirectoryService 

Ejecutar cat /Library/Logs/DirectoryService/DirectoryService.server.log da

 2012-02-15 15:01:29 EST - DirectoryService 2.1 (v353.6) starting up... 2012-02-15 15:01:29 EST - Initializing TCP ... 2012-02-15 15:01:29 EST - Plugin <Configure>, Version <1.7>, processed successfully. 2012-02-15 15:01:29 EST - Plugin <NetInfo>, Version <1.7.4>, processed successfully. 2012-02-15 15:01:29 EST - Plugin <LDAPv3>, Version <1.7.4>, processed successfully. 2012-02-15 15:01:29 EST - Plugin <Search>, Version <1.7>, processed successfully. 2012-02-15 15:01:29 EST - Plugin "Active Directory", Version "1.5.8", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "AppleTalk", Version "1.3", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "Bonjour", Version "1.3", loaded successfully. 2012-02-15 15:01:29 EST - Plugin "BSD", Version "1.2.2", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "PasswordServer", Version "3.1.2", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "SLP", Version "1.3.1", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "SMB", Version "1.3", is set to load lazily. 2012-02-15 15:01:29 EST - Registenetworking node /Configure 2012-02-15 15:01:29 EST - Registenetworking node /Search 2012-02-15 15:01:29 EST - Plug-in Configure state is now active. 2012-02-15 15:01:29 EST - Registenetworking node /Search/Contacts 2012-02-15 15:01:29 EST - Registenetworking node /Search/Network 2012-02-15 15:01:29 EST - Plug-in Bonjour state is now active. 2012-02-15 15:01:29 EST - Plug-in Search state is now active. 2012-02-15 15:01:29 EST - Plug-in LDAPv3 state is now active. 2012-02-15 15:01:29 EST - Registenetworking node /NetInfo/DefaultLocalNode 2012-02-15 15:01:29 EST - Plug-in NetInfo state is now active. 2012-02-15 15:01:32 EST - Network transition occurnetworking. 2012-02-15 15:01:35 EST - Registenetworking Locally Hosted Node /NetInfo/DefaultLocalNode 2012-02-15 15:01:41 EST - Network transition occurnetworking. 2012-02-15 15:01:41 EST - Network transition occurnetworking. 2012-02-15 15:01:41 EST - Network transition occurnetworking. 

(El time es cuando el server se reinició hace varias horas.) Esto ha estado ocurriendo durante varios días.

¿Hay una manera de ver qué está llamando el DirectoryService cada minuto?

No puedo usar netstat -p , ya que Mac OS X 10.4 Tiger no admite la opción -p .

Necesito deshabilitar este script malicioso, pero no puedo deshabilitar el cliente LDAP completamente, ya que los usuarios confían en este server para el almacenamiento de files y los ID de usuario.

EDITAR:

sudo killall -USR1 DirectoryService para permitir depurar el logging, y parece que memberd y lookupd están llamando a DirectoryService.

Lo habitual:

  • Tire del server de la networking.
  • Limpíelo completamente, inicie la reinstallation desde fonts conocidas conocidas (discos OS)
  • Reinstala todo.
  • Asegúrese de que no makemistakes y patche todo.
  • Restaure los datos de la copy de security.

no es "un guión", no sabes qué otras cosas un hacker puede haber instalado.