![Conexiones de red no identificadas](https://rvso.com/image/52109/Conexiones%20de%20red%20no%20identificadas.png)
Tengo un servidor web/ftp externo (con hosts virtuales) que ejecuta Ubuntu 12.04LTS y tengo algunas dudas sobre el tráfico de red que estoy viendo.
Algunos antecedentes. Intenté ser lo más preventivo posible al configurar la computadora, quizás relevante:
- Está conectado directamente a Internet y es independiente de nuestra LAN, por lo que si alguna vez se viera comprometido, el daño no podría extenderse.
- Se ejecuta
ufw
con una estructura de reglas de denegación primero que solo permite:- Conexiones a cualquier puerto desde la dirección IP de LAN (para fines administrativos)
- Conexiones a los puertos 21/80 desde cualquier dirección IP (para los servicios)
apache2
está configurado para permitir sólo el acceso a páginas web potencialmente "peligrosas", comoadministrador.phpoconfiguración.phpdesde la dirección IP de LAN, y- Otras cosas como actualización automática,
denyhosts
etc.
Mi preocupación es que estaba mirando el resultado de nethogs
esta mañana y encontré muchas entradas que no entiendo (eliminé la dirección IP de mi servidor y recorté un poco la lista):
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
Entonces mi pregunta, y mi obvia preocupación, es ¿cuáles son estas conexiones? ¿Por qué son propiedad de root y sin PID? ¿Por qué hay tantos?
Otrorespuestasugirió que entradas similares en la otra dirección (es decir, desde un puerto aleatorio a un puerto externo 80 propiedad de root sin PID) significan conexionesasitios web externos, pero no sé si es al revés ya que también tengo listados para apache2
... Me gustaría pensar que tengo bastante experiencia con Linux a nivel de usuario, pero la administración del sistema es un poco nueva a mi. El sistema ya está chkrootkit
instalado rkhunter
, pero al ejecutarlos no apareció nada. Obviamente me gustaría saber si tengo algún problema, pero también me gustaría entender qué está pasando...
Apéndice
Por interés, el siguiente es el resultado de misudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
Respuesta1
Dado que todo este tráfico está conectado a una computadora en China (o eso parece con respecto a la salida whois), recomendaría no permitir el tráfico de esa red (180.96.0.0/19). Siempre y cuando no tengas ningún interés concreto en conectarse a esa red, claro. De lo contrario, consideraría ese tráfico malicioso y, por tanto, no deseado.
Las conexiones a una dirección IP pero varios puertos sugieren conexiones entrantes en lugar de conexiones salientes, ya que el establecimiento de la conexión para el tráfico entrante aparece en el puerto 80.
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC