Conexiones de red no identificadas

Conexiones de red no identificadas

Tengo un servidor web/ftp externo (con hosts virtuales) que ejecuta Ubuntu 12.04LTS y tengo algunas dudas sobre el tráfico de red que estoy viendo.

Algunos antecedentes. Intenté ser lo más preventivo posible al configurar la computadora, quizás relevante:

  1. Está conectado directamente a Internet y es independiente de nuestra LAN, por lo que si alguna vez se viera comprometido, el daño no podría extenderse.
  2. Se ejecuta ufwcon una estructura de reglas de denegación primero que solo permite:
    1. Conexiones a cualquier puerto desde la dirección IP de LAN (para fines administrativos)
    2. Conexiones a los puertos 21/80 desde cualquier dirección IP (para los servicios)
  3. apache2está configurado para permitir sólo el acceso a páginas web potencialmente "peligrosas", comoadministrador.phpoconfiguración.phpdesde la dirección IP de LAN, y
  4. Otras cosas como actualización automática, denyhostsetc.

Mi preocupación es que estaba mirando el resultado de nethogsesta mañana y encontré muchas entradas que no entiendo (eliminé la dirección IP de mi servidor y recorté un poco la lista):

PID   USER     PROGRAM                                             DEV        SENT      RECEIVED
?     root     server.address:80-180.126.248.132:56745                      11.879       0.454 KB/sec
?     root     server.address:80-180.126.248.132:56752                       9.568       0.354 KB/sec
8300  jon      sshd: jon@pts/0                                    bond0      5.597       0.323 KB/sec
?     root     server.address:80-180.126.248.132:56663                       6.690       0.185 KB/sec
?     root     server.address:80-180.126.248.132:56739                       5.242       0.170 KB/sec
?     root     server.address:80-180.126.248.132:56608                       4.658       0.170 KB/sec
?     root     server.address:80-180.126.248.132:56723                       5.242       0.162 KB/sec
?     root     server.address:80-180.126.248.132:56515                       4.658       0.150 KB/sec
[...]
3614  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3134  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3307  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3009  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3768  www-data /usr/sbin/apache2                                  bond0      0.000       0.000 KB/sec
3132  www-data /usr/sbin/apache2                                  bond0      0.000       0.000 KB/sec
3384  www-data /usr/sbin/apache2                                  bond0      0.000       0.000 KB/sec

Entonces mi pregunta, y mi obvia preocupación, es ¿cuáles son estas conexiones? ¿Por qué son propiedad de root y sin PID? ¿Por qué hay tantos?

Otrorespuestasugirió que entradas similares en la otra dirección (es decir, desde un puerto aleatorio a un puerto externo 80 propiedad de root sin PID) significan conexionesasitios web externos, pero no sé si es al revés ya que también tengo listados para apache2... Me gustaría pensar que tengo bastante experiencia con Linux a nivel de usuario, pero la administración del sistema es un poco nueva a mi. El sistema ya está chkrootkitinstalado rkhunter, pero al ejecutarlos no apareció nada. Obviamente me gustaría saber si tengo algún problema, pero también me gustaría entender qué está pasando...

Apéndice

Por interés, el siguiente es el resultado de misudo ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
Anywhere                   ALLOW IN    lan.address
80                         ALLOW IN    Anywhere
21/tcp                     ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere (v6)
21/tcp                     ALLOW IN    Anywhere (v6)

Respuesta1

Dado que todo este tráfico está conectado a una computadora en China (o eso parece con respecto a la salida whois), recomendaría no permitir el tráfico de esa red (180.96.0.0/19). Siempre y cuando no tengas ningún interés concreto en conectarse a esa red, claro. De lo contrario, consideraría ese tráfico malicioso y, por tanto, no deseado.

Las conexiones a una dirección IP pero varios puertos sugieren conexiones entrantes en lugar de conexiones salientes, ya que el establecimiento de la conexión para el tráfico entrante aparece en el puerto 80.

% Information related to '180.96.0.0 - 180.127.255.255'
inetnum:        180.96.0.0 - 180.127.255.255
netname:        CHINANET-JS
descr:          Chinanet Jiangsu Province Network
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
 country:        CN
admin-c:        CH93-AP
tech-c:         CJ186-AP
remarks:        service provider
status:         ALLOCATED PORTABLE
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        [email protected] 20090723
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-JS
source:         APNIC

role:           CHINANET JIANGSU
address:        260 Zhongyang Road,Nanjing 210037
country:        CN
phone:          +86-25-86588231
phone:          +86-25-86588745
fax-no:         +86-25-86588104
e-mail:         [email protected]
remarks:        send anti-spam reports to [email protected]
remarks:        send abuse reports to [email protected]
remarks:        times in GMT+8
admin-c:        CH360-AP
tech-c:         CS306-AP
tech-c:         CN142-AP
nic-hdl:        CJ186-AP
remarks:        www.jsinfo.net
notify:         [email protected]
mnt-by:         MAINT-CHINANET-JS
changed:        [email protected] 20090831
changed:        [email protected] 20090831
changed:        [email protected] 20090901
source:         APNIC
changed:        [email protected] 20111114

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         [email protected]
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
changed:        [email protected] 20070416
changed:        [email protected] 20140227
mnt-by:         MAINT-CHINANET
source:         APNIC

información relacionada