natpass natpass 被用于黑客攻击,如何侦测？

natpass 被用于黑客攻击,如何侦测？

Open woshidama323 opened this issue 2 years ago • 3 comments

目前我们服务器被攻击，发现natpass-cli 启用6145 作为端口，

如何侦测通过natpass 进程服务？

Jan 16 '23 06:01 woshidama323

natpass创建连接时有一次握手的过程，内容可通过握手报文进行识别，如果未进行tls加密的话可通过这个握手报文进行阻断。

Jan 16 '23 09:01 lwch

另外建议修改或加强common.yaml中的密钥长度提高安全性

Jan 16 '23 09:01 lwch

另外可以通过修改/etc/systemd/system/np-cli.service中的User字段使其运行在一个低身份的用户下，比如nobody

Jan 16 '23 09:01 lwch