netstat muestra muchas conexiones desconocidas de diferentes lugares extraños. ¿Son solo un intento de establecer una conexión? ¿O mi servidor está comprometido? Eliminé mis direcciones locales del registro a continuación:
CORRIENTE CONECTADA 8353 P8352 [root@ns512646 ~]# netstat Conexiones activas a Internet (sin servidores) Proto Recv-Q Send-Q Dirección local Dirección extranjera Estado tcp 0 0 s1.securityresearch.3:60000 ESTABLECIDO tcp 0 0 hn.kd.ny.adsl:17353 ESTABLECIDO tcp 0 0 s4.securityresearch.3:60000 ESTABLECIDO tcp 0 0 s3.securityresearch.3:60000 ESTABLECIDO tcp 0 0 hn.kd.ny.adsl:28534 ESTABLECIDO tcp 0 0 s4.securityresearch.3:60000 ESTABLECIDO
Respuesta1
Si escribe netstat -na le dará más detalles, tiene un servidor y no sabe qué está conectado a él.
Además, esta es una solicitud muy básica; referirse a man netstat le habría ahorrado la posibilidad de activar dicha solicitud.
Respuesta2
Si las conexiones están ESTABLECIDAS, eso significa que el host de conexión remota ha negociado con éxito una sesión con algún servicio escuchando en su host.
Desafortunadamente, al eliminar la columna Dirección local aquí se omite información clave. Lo que desea saber es a qué servicios/puertos se conectan estos hosts remotos en su máquina y si ese tráfico es legítimo/esperado o no.
Puede agregar el -pindicador a netstat para obtener el PID y el nombre del programa de los procesos que escuchan en estos puertos. (Requiere privilegios de root para ver procesos distintos al suyo) y -epara mostrar con qué usuario se está ejecutando el proceso.