Percebemos que vários de nossos servidores Ubuntu estão enviando grandes quantidades de tráfego UDP para um IP que não reconhecemos. O servidor pode estar infectado? Como nós podemos descobrir? Os servidores possuem o postfix instalado neles. As únicas portas abertas nessas máquinas são smtp e pop3.
Responder1
O UDP é usado para uma variedade de serviços. Se você tiver apenas SMTP e POP3 abertos, não deverá ter tráfego UDP. Presumo que você também tenha DNS aberto em TCP e UDP. Grandes quantidades de tráfego são uma medida bastante imprecisa. É 1% do seu tráfego ou largura de banda ou 90%.
Se você permitir o recebimento de e-mails, presumo que você também esteja executando algum tipo de software de verificação de e-mail. Isso deve gerar um bom número de pesquisas de DNS. Por esse motivo, é recomendável executar um servidor DNS de cache no host. O UDP também é usado por alguns outros recursos usados para identificar spam.
O comando sudo netstat -anp | grep udp | grep lesslistará as conexões usando UDP e o programa associado. Isso pode ajudar a identificar a origem do tráfego. Repetir o comando sudo netstat -anp | grep udp | grep EST | lessalgumas vezes pode lhe dar uma ideia se esta é uma conexão contínua.
Você pode usar tcpdumppara examinar o tráfego e determinar que tipo de dados está sendo transmitido. Isso lhe dará uma ideia se o tráfego é legítimo.
Outra ferramenta que você pode usar é ntopresumir o tráfego por protocolo e host. Pode lhe dar uma ideia do tráfego que está passando.
Você pode inserir uma regra de bloqueio no arquivo iptables. Isso pode bloquear o tráfego por endereço IP, protocolo ou protocolo e porta. Esteja preparado para remover a regra rapidamente caso o tráfego seja legítimo.