Ubuntu 12.04LTS를 실행하는 외부 연결 FTP/웹 서버(가상 호스트 포함)가 있는데, 현재 보고 있는 일부 네트워크 트래픽에 대해 몇 가지 우려 사항이 있습니다.
일부 배경. 나는 가능한 한 컴퓨터를 예방적으로 설정하려고 노력했습니다. 아마도 관련성이 있을 것입니다.
- 인터넷에 직접 연결되어 있고 LAN과 독립적이므로 손상되더라도 피해가 확산될 수 없습니다.
ufw다음만 허용하는 거부 우선 규칙 구조로 실행됩니다 .- LAN IP 주소에서 모든 포트에 연결(관리 목적)
- 모든 IP 주소에서 포트 21/80에 연결(서비스용)
apache2다음과 같이 잠재적으로 '위험한' 웹페이지에만 액세스하도록 구성되어 있습니다.admin.php또는setup.phpLAN IP 주소에서- 자동 업데이트
denyhosts등과 같은 기타 기능
내 관심사는 오늘 아침의 출력을 보고 있는데 nethogs이해하지 못하는 항목을 많이 발견했다는 것입니다(서버의 IP 주소를 제거하고 목록을 약간 잘랐습니다).
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
그래서 내 질문이자 분명한 관심사는 이러한 연결이 무엇인가 하는 것입니다. PID 없이 루트가 소유하는 이유는 무엇입니까? 왜 그렇게 많은가요?
또 다른답변다른 방향(예: 무작위 포트에서 PID가 없는 루트 소유의 외부 포트 80으로)의 유사한 항목이 연결을 의미한다고 제안했습니다.에게외부 웹사이트에 대한 목록도 있으므로 그 반대인지는 모르겠습니다 apache2. 사용자 수준에서는 Linux에 대해 꽤 경험이 있다고 생각하고 싶지만 시스템 관리는 조금 새로운 것입니다. 나에게. 시스템이 설치되어 있지만 chkrootkit실행 rkhunter해도 아무 것도 나타나지 않았습니다. 분명히 문제가 있는지 알고 싶지만 무슨 일이 일어나고 있는지도 알고 싶습니다.
부록
관심을 끌기 위해 다음은 내 결과입니다.sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
답변1
이 모든 트래픽은 중국에 있는 컴퓨터에 연결되어 있으므로(혹은 whois 출력과 관련된 것으로 보임) 해당 네트워크(180.96.0.0/19)의 트래픽을 허용하지 않는 것이 좋습니다. 물론 해당 네트워크 연결에 특별한 관심이 없다면 가능합니다. 그렇지 않으면 해당 트래픽을 악의적이므로 원치 않는 트래픽으로 간주합니다.
하나의 IP 주소에 대한 연결이지만 여러 포트에 대한 연결은 들어오는 트래픽에 대한 연결 설정이 포트 80에 표시되므로 나가는 연결이 아닌 들어오는 연결을 제안합니다.
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC