Wir haben festgestellt, dass mehrere unserer Ubuntu-Server große Mengen UDP-Datenverkehr an eine IP-Adresse senden, die wir nicht kennen. Könnte der Server infiziert sein? Wie können wir das herausfinden? Auf den Servern ist Postfix installiert. Die einzigen offenen Ports auf diesen Rechnern sind SMTP und POP3.
Antwort1
UDP wird für eine Vielzahl von Diensten verwendet. Wenn Sie nur SMTP und POP3 geöffnet haben, sollte kein UDP-Verkehr stattfinden. Ich gehe davon aus, dass Sie DNS sowohl für TCP als auch für UDP geöffnet haben. Riesige Verkehrsmengen sind eine ziemlich ungenaue Messung. Ist es 1 % Ihres Verkehrs oder Ihrer Bandbreite oder 90 %?
Wenn Sie eingehende E-Mails zulassen, gehe ich davon aus, dass Sie auch eine Art E-Mail-Scan-Software ausführen. Dies sollte eine ganze Reihe von DNS-Suchvorgängen generieren. Aus diesem Grund wird empfohlen, dass Sie auf dem Host einen DNS-Cache-Server ausführen. UDP wird auch von einigen anderen Ressourcen verwendet, die zur Identifizierung von Spam verwendet werden.
Der Befehl sudo netstat -anp | grep udp | grep less
listet Verbindungen auf, die UDP und das zugehörige Programm verwenden. Dies kann dabei helfen, die Quelle des Datenverkehrs zu identifizieren. Wenn Sie den Befehl sudo netstat -anp | grep udp | grep EST | less
ein paar Mal wiederholen, können Sie erkennen, ob es sich um eine laufende Verbindung handelt.
Sie können tcpdump
den Datenverkehr untersuchen und feststellen, welche Art von Daten übertragen werden. Dadurch erhalten Sie eine Vorstellung davon, ob der Datenverkehr legitim ist.
Ein weiteres Tool, das Sie verwenden könnten, ist das ntop
Tool, das den Datenverkehr nach Protokoll und Host zusammenfasst. Es kann Ihnen eine Vorstellung davon geben, welcher Datenverkehr durchläuft.
Sie können eine Sperrregel einfügen iptables
. Diese kann den Datenverkehr nach IP-Adresse, Protokoll oder Protokoll und Port sperren. Seien Sie darauf vorbereitet, die Regel schnell zu entfernen, falls der Datenverkehr legitim ist.