natpass 被用于黑客攻击,如何侦测？ #64

woshidama323 · 2023-01-16T06:15:49Z

目前我们服务器被攻击，发现natpass-cli 启用6145 作为端口，

如何侦测通过natpass 进程服务？

lwch · 2023-01-16T09:04:10Z

natpass创建连接时有一次握手的过程，内容可通过握手报文进行识别，如果未进行tls加密的话可通过这个握手报文进行阻断。

lwch · 2023-01-16T09:06:17Z

另外建议修改或加强common.yaml中的密钥长度提高安全性

lwch · 2023-01-16T09:17:17Z

另外可以通过修改/etc/systemd/system/np-cli.service中的User字段使其运行在一个低身份的用户下，比如nobody

lwch added the question Further information is requested label Jan 16, 2023

Provide feedback