netstat zeigt viele unbekannte Verbindungen von verschiedenen seltsamen Orten an. Versuchen sie nur, eine Verbindung herzustellen? Oder ist mein Server kompromittiert? Ich habe meine lokalen Adressen aus dem folgenden Protokoll entfernt:
STREAM VERBUNDEN 8353 P8352 [root@ns512646 ~]# netstat Aktive Internetverbindungen (ohne Server) Proto Recv-Q Send-Q Lokale Adresse Fremde Adresse Status tcp 0 0 s1.securityresearch.3:60000 ETABLIER tcp 0 0 hn.kd.ny.adsl:17353 HERGESTELLT tcp 0 0 s4.securityresearch.3:60000 ETABLIER tcp 0 0 s3.securityresearch.3:60000 ETABLIER tcp 0 0 hn.kd.ny.adsl:28534 HERGESTELLT tcp 0 0 s4.securityresearch.3:60000 ETABLIER
Antwort1
Wenn Sie netstat -na eingeben, erhalten Sie weitere Einzelheiten. Sie haben einen Server, wissen aber nicht, was damit verbunden ist.
Außerdem handelt es sich hierbei um eine sehr einfache Anfrage. Ein Verweis auf man netstat hätte Ihnen das Auslösen einer solchen Anfrage erspart.
Antwort2
Wenn die Verbindungen HERGESTELLT sind, bedeutet dies, dass der Remote-Verbindungshost erfolgreich eine Sitzung mit einem Dienst ausgehandelt hat, der auf Ihrem Host lauscht.
Wenn Sie die Spalte „Lokale Adresse“ entfernen, gehen leider wichtige Informationen verloren. Sie möchten wissen, mit welchen Diensten/Ports diese Remote-Hosts auf Ihrem Computer eine Verbindung herstellen und ob dieser Datenverkehr legitim/erwartet ist oder nicht.
Sie können das -pFlag zu netstat hinzufügen, um die PID und den Programmnamen der Prozesse anzuzeigen, die auf diesen Ports lauschen. (Um andere Prozesse als Ihre eigenen anzuzeigen, sind Root-Rechte erforderlich) und -eum anzuzeigen, unter welcher Benutzerbezeichnung der Prozess ausgeführt wird.