Hemos notado que varios de nuestros servidores ubuntu envían cantidades masivas de tráfico udp a una IP que no reconocemos. ¿Podría estar infectado el servidor? ¿Cómo podemos saberlo? Los servidores tienen postfix instalado. Los únicos puertos abiertos en estas máquinas son smtp y pop3.
Respuesta1
UDP se utiliza para una variedad de servicios. Si sólo tiene abiertos SMTP y POP3, no debería tener tráfico UDP. Supongo que también tienes DNS abierto tanto en TCP como en UDP. Cantidades masivas de tráfico es una medida bastante imprecisa. ¿Es el 1% de su tráfico o ancho de banda, o el 90%?
Si permite el correo electrónico entrante, supongo que también está ejecutando algún tipo de software de escaneo de correo. Esto debería generar una buena cantidad de búsquedas de DNS. Por este motivo, se recomienda ejecutar un servidor DNS de caché en el host. UDP también lo utilizan otros recursos utilizados para identificar spam.
El comando sudo netstat -anp | grep udp | grep lessenumerará las conexiones que utilizan UDP y el programa asociado. Esto puede ayudar a identificar la fuente del tráfico. Repetir el comando sudo netstat -anp | grep udp | grep EST | lessvarias veces podría darle una idea de si se trata de una conexión continua.
Puede utilizarlo tcpdumppara examinar el tráfico y determinar qué tipo de datos se pasan. Esto le dará una idea de si el tráfico es legítimo.
Otra herramienta que podría utilizar es ntopla que resumirá el tráfico por protocolo y host. Puede darle una idea del tráfico que pasa.
Puede insertar una regla de bloqueo en el archivo iptables. Esto puede bloquear el tráfico por dirección IP, protocolo o protocolo y puerto. Esté preparado para eliminar la regla rápidamente en caso de que el tráfico sea legítimo.