Ubuntu 12.04LTS を実行している外部向けの ftp/Web サーバー (仮想ホスト付き) がありますが、一部のネットワーク トラフィックについて懸念があります。
背景情報。コンピューターのセットアップでは、できるだけ予防的な対応を心がけました。おそらく、次のようなことが関係しているでしょう。
- インターネットに直接接続されており、LANから独立しているため、万が一侵入されても被害が広がることはありません。
- これは、
ufw次のものだけを許可する、最初に拒否するルール構造で実行されます。- LAN IP アドレスからの任意のポートへの接続 (管理目的)
- 任意の IP アドレスからのポート 21/80 への接続 (サービス用)
apache2潜在的に「危険な」ウェブページへのアクセスのみを許可するように設定されています。管理者.phpまたはセットアップ.phpLAN IPアドレスから、そして- その他、自動更新
denyhostsなど。
私の懸念は、今朝の出力を見ていてnethogs、理解できないエントリが多数見つかったことです (サーバーの IP アドレスを削除し、リストを少し切り取りました)。
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
そこで私の疑問、そして当然の懸念は、これらの接続とは何なのかということです。なぜこれらは root によって所有され、PID がないのでしょうか。なぜこんなにたくさんあるのでしょうか。
別の答え反対方向(つまり、ランダムポートからPIDのないルートが所有する外部ポート80)の同様のエントリは接続を意味すると示唆した。に外部の Web サイトですが、逆の場合かどうかはわかりません。私もリストを持っていますapache2... ユーザー レベルでは Linux にかなり精通しているつもりですが、システム管理は私にとってはちょっと新しいです。システムはインストールされていますchkrootkitがrkhunter、実行しても何も表示されませんでした。問題があるかどうか知りたいのは当然ですが、何が起こっているのかも理解したいです...
付録
興味深いことに、以下は私のsudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
答え1
このトラフィックはすべて中国のコンピューターに接続されているため (whois 出力から判断するとそう見える)、そのネットワーク (180.96.0.0/19) からのトラフィックを許可しないことをお勧めします。もちろん、そのネットワークへの接続に特別な関心がない限りは。そうでない場合は、そのトラフィックは悪意のあるものであり、したがって望ましくないと見なされます。
1 つの IP アドレスと複数のポートへの接続は、着信トラフィックの接続確立がポート 80 に表示されるため、発信接続ではなく着信接続を示唆します。
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC