Parece que alguien está usando mi server de Mac OS X para atacar a la fuerza bruta otro server que es LDAP. ¿Qué puedo hacer para detenerlo?

Un server LDAP en otro está reportando un número inusualmente grande de bashs de leer el directory LDAP e intentar un número de usuarios, todos los cuales parecen bashs de hacking para leer información de usuario / contraseña. Esto ocurre cada minuto. Informa que el IP de origen es un server Mac OS X 10.4 Tiger que es un server de files en la networking para iMacs.

Cuando ejecuto lsof -i:ldap +c 0 en el server Mac, devuelve

 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME DirectoryService 60 root 11u IPv4 0x38de228 0t0 TCP mymacserver.com:50106->myldapserver.com:ldap (ESTABLISHED) 

Ejecutar ps -Aj da

 USER PID PPID PGID SESS JOBC STAT TT TIME COMMAND [...] root 60 1 60 290c7e4 0 Ss ?? 0:19.00 /usr/sbin/DirectoryService 

Ejecutar cat /Library/Logs/DirectoryService/DirectoryService.server.log da

 2012-02-15 15:01:29 EST - DirectoryService 2.1 (v353.6) starting up... 2012-02-15 15:01:29 EST - Initializing TCP ... 2012-02-15 15:01:29 EST - Plugin <Configure>, Version <1.7>, processed successfully. 2012-02-15 15:01:29 EST - Plugin <NetInfo>, Version <1.7.4>, processed successfully. 2012-02-15 15:01:29 EST - Plugin <LDAPv3>, Version <1.7.4>, processed successfully. 2012-02-15 15:01:29 EST - Plugin <Search>, Version <1.7>, processed successfully. 2012-02-15 15:01:29 EST - Plugin "Active Directory", Version "1.5.8", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "AppleTalk", Version "1.3", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "Bonjour", Version "1.3", loaded successfully. 2012-02-15 15:01:29 EST - Plugin "BSD", Version "1.2.2", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "PasswordServer", Version "3.1.2", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "SLP", Version "1.3.1", is set to load lazily. 2012-02-15 15:01:29 EST - Plugin "SMB", Version "1.3", is set to load lazily. 2012-02-15 15:01:29 EST - Registenetworking node /Configure 2012-02-15 15:01:29 EST - Registenetworking node /Search 2012-02-15 15:01:29 EST - Plug-in Configure state is now active. 2012-02-15 15:01:29 EST - Registenetworking node /Search/Contacts 2012-02-15 15:01:29 EST - Registenetworking node /Search/Network 2012-02-15 15:01:29 EST - Plug-in Bonjour state is now active. 2012-02-15 15:01:29 EST - Plug-in Search state is now active. 2012-02-15 15:01:29 EST - Plug-in LDAPv3 state is now active. 2012-02-15 15:01:29 EST - Registenetworking node /NetInfo/DefaultLocalNode 2012-02-15 15:01:29 EST - Plug-in NetInfo state is now active. 2012-02-15 15:01:32 EST - Network transition occurnetworking. 2012-02-15 15:01:35 EST - Registenetworking Locally Hosted Node /NetInfo/DefaultLocalNode 2012-02-15 15:01:41 EST - Network transition occurnetworking. 2012-02-15 15:01:41 EST - Network transition occurnetworking. 2012-02-15 15:01:41 EST - Network transition occurnetworking. 

(El time es cuando el server se reinició hace varias horas.) Esto ha estado ocurriendo durante varios días.

¿Hay una manera de ver qué está llamando el DirectoryService cada minuto?

No puedo usar netstat -p , ya que Mac OS X 10.4 Tiger no admite la opción -p .

Necesito deshabilitar este script malicioso, pero no puedo deshabilitar el cliente LDAP completamente, ya que los usuarios confían en este server para el almacenamiento de files y los ID de usuario.

EDITAR:

sudo killall -USR1 DirectoryService para permitir depurar el logging, y parece que memberd y lookupd están llamando a DirectoryService.

One Solution collect form web for “Parece que alguien está usando mi server de Mac OS X para atacar a la fuerza bruta otro server que es LDAP. ¿Qué puedo hacer para detenerlo?”

Lo habitual:

  • Tire del server de la networking.
  • Limpíelo completamente, inicie la reinstallation desde fonts conocidas conocidas (discos OS)
  • Reinstala todo.
  • Asegúrese de que no makemistakes y patche todo.
  • Restaure los datos de la copy de security.

no es "un guión", no sabes qué otras cosas un hacker puede haber instalado.

  • La mejor manera de integrar clientes de Mac OS X con Active Directory
  • osx fstab windows de assembly comparten con el usuario osx equivocado
  • Asesoramiento sobre la estructura de directorys web para Mac OS X 10.6 Server
  • OSX Cron causando el siguiente error: No se pudo configurar el puerto especial Task Task 9: (os / kern) sin acceso
  • Cómo evitar las conexiones máximas de Workgroup Manager en Mac OS X Server 10.6
  • Correcta / Optimizada de los clientes de Open Directory?
  • Configuración de la aplicación de iPad con OS X Server Profile Manager?
  • En el sitio y fuera de sitio OS X Sever
  • ¿Por qué Samba no autentifica un nombre de usuario de Open Directory que llega en todos los mayúsculas?
  • ¿Por qué se ejecuta este process de Python en mi Mac OS X Server?
  • Apache server de ser apagado después de unos minutos en OS X 10.10
  • Advertencia de "Sólo lectura" de Microsoft Office que no aparece en los resources compartidos de Samba en Mac OS X Server
  • ¿Una situación DNS insoluble?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.