Ich habe einen nach außen gerichteten FTP/Webserver (mit virtuellen Hosts), auf dem Ubuntu 12.04LTS läuft, und ich bin besorgt über den Netzwerkverkehr, den ich beobachte.
Einige Hintergrundinformationen. Ich habe versucht, beim Einrichten des Computers so vorbeugend wie möglich vorzugehen. Vielleicht ist das relevant:
- Es ist direkt mit dem Internet verbunden und unabhängig von unserem LAN, so dass sich der Schaden im Falle einer Kompromittierung nicht ausbreiten kann.
- Es läuft
ufwmit einer Deny-First-Regelstruktur, die nur Folgendes zulässt:- Verbindungen zu beliebigen Ports von der LAN-IP-Adresse (für Administratorzwecke)
- Verbindungen zu den Ports 21/80 von jeder IP-Adresse (für die Dienste)
apache2ist so konfiguriert, dass nur der Zugriff auf potenziell „gefährliche“ Webseiten möglich ist, wieadmin.phpodersetup.phpvon der LAN-IP-Adresse und- Andere Dinge wie automatische Aktualisierung
denyhostsusw.
Mein Problem ist, dass ich mir die Ausgabe von heute Morgen angesehen nethogsund viele Einträge gefunden habe, die ich nicht verstehe (ich habe die IP-Adresse meines Servers entfernt und die Liste etwas zugeschnitten):
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
Meine Frage und offensichtliche Sorge ist also, was sind das für Verbindungen? Warum gehören sie Root und haben keine PID? Warum gibt es so viele davon?
Ein andererAntwortschlug vor, dass ähnliche Einträge in die andere Richtung (also von einem zufälligen Port zu einem externen Port 80, der root gehört und keine PID hat) Verbindungen bedeutenZuexterne Websites, aber ich weiß nicht, ob das Gegenteil der Fall ist, da ich auch Einträge für apache2... habe. Ich würde gerne glauben, dass ich auf Benutzerebene ziemlich erfahren mit Linux bin, aber die Systemadministration ist für mich ein wenig Neuland. Das System hat chkrootkitund rkhunterinstalliert, aber beim Ausführen hat sich nichts ergeben. Ich würde natürlich gerne wissen, ob ich ein Problem habe, aber ich würde auch gerne verstehen, was los ist ...
Anhang
Aus Interesse ist das Folgende das Ergebnis meinersudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
Antwort1
Da der gesamte Datenverkehr mit einem Computer in China verbunden ist (oder zumindest scheint es das in Bezug auf die Whois-Ausgabe), würde ich empfehlen, den Datenverkehr aus diesem Netzwerk (180.96.0.0/19) zu unterbinden. Natürlich nur, wenn Sie kein besonderes Interesse an einer Verbindung zu diesem Netzwerk haben. Andernfalls würde ich diesen Datenverkehr als bösartig und daher unerwünscht betrachten.
Verbindungen zu einer IP-Adresse, aber mehreren Ports deuten eher auf eingehende als auf ausgehende Verbindungen hin, da der Verbindungsaufbau für eingehenden Datenverkehr auf Port 80 angezeigt wird.
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC