netstat está mostrando muitas conexões desconhecidas de diferentes lugares estranhos. eles são apenas uma tentativa de estabelecer conexão? ou meu servidor está comprometido? Removi meus endereços locais do log abaixo:
FLUXO CONECTADO 8353 P8352 [root@ns512646 ~]# netstat Conexões ativas com a Internet (sem servidores) Proto Recv-Q Send-Q Endereço local Estado de endereço estrangeiro tcp 0 0 s1.securityresearch.3:60000 ESTABELECIDO tcp 0 0 hn.kd.ny.adsl:17353 ESTABELECIDO tcp 0 0 s4.securityresearch.3:60000 ESTABELECIDO tcp 0 0 s3.securityresearch.3:60000 ESTABELECIDO tcp 0 0 hn.kd.ny.adsl:28534 ESTABELECIDO tcp 0 0 s4.securityresearch.3:60000 ESTABELECIDO
Responder1
Se você digitar netstat -na ele lhe dará mais detalhes, você tem um servidor e não sabe o que está conectado a ele.
Além disso, esta é uma solicitação muito básica, referindo-se a man netstat que teria poupado você de disparar tal solicitação.
Responder2
Se as conexões forem ESTABELECIDAS, isso significa que o host de conexão remota negociou com sucesso uma sessão com algum serviço escutando em seu host.
A remoção da coluna Endereço local aqui infelizmente omite informações importantes. O que você quer saber é a quais serviços/portas esses hosts remotos estão se conectando em sua máquina e se esse tráfego é legítimo/esperado ou não.
Você pode adicionar o -psinalizador ao netstat para fornecer o PID e o nome do programa dos processos que estão escutando nessas portas. (Requer privilégios de root para ver processos diferentes dos seus) e -epara mostrar em qual usuário o processo está sendo executado.