У меня есть внешний ftp/веб-сервер (с виртуальными хостами), работающий под управлением Ubuntu 12.04LTS, и у меня есть некоторые опасения по поводу сетевого трафика, который я вижу.
Немного предыстории. Я старался быть максимально предупредительным при настройке компьютера, возможно, это будет уместно:
- Он напрямую подключен к Интернету и не зависит от нашей локальной сети, поэтому, если он когда-либо будет скомпрометирован, ущерб не сможет распространиться.
- Он работает
ufwсо структурой правила «отклонить первым», которая допускает только:- Подключения к любым портам с IP-адреса локальной сети (для целей администрирования)
- Подключения к портам 21/80 с любого IP-адреса (для услуг)
apache2настроен на разрешение доступа только к потенциально «опасным» веб-страницам, таким какadmin.phpилинастройка.phpиз IP-адреса локальной сети и- Другие вещи, такие как автоматическое обновление
denyhostsи т. д.
Меня беспокоит то, что я просматривал вывод nethogsсегодняшнего утра и нашел много записей, которые я не понимаю (я удалил IP-адрес своего сервера и немного обрезал список):
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
Итак, мой вопрос и очевидная обеспокоенность: что это за соединения? Почему они принадлежат root и не имеют PID? Почему их так много?
Другойотвечатьпредположил, что аналогичные записи в другом направлении (т.е. со случайного порта на внешний порт 80, принадлежащий пользователю root без PID) означают соединенияквнешние веб-сайты, но я не знаю, так ли это, поскольку у меня также есть списки для apache2... Я хотел бы думать, что я довольно опытен с Linux на уровне пользователя, но системное администрирование для меня немного ново. Система установлена chkrootkit, rkhunterно запуск их ничего не дал. Я, конечно, хотел бы знать, есть ли у меня проблема, но я также хотел бы понять, что происходит...
Приложение
Для интереса, вот результат моегоsudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
решение1
Поскольку весь этот трафик подключен к компьютеру в Китае (или так кажется, судя по выходным данным whois), я бы рекомендовал запретить трафик из этой сети (180.96.0.0/19). Конечно, если у вас нет особого интереса в подключении к этой сети. В противном случае я бы посчитал этот трафик вредоносным и, следовательно, нежелательным.
Подключения к одному IP-адресу, но нескольким портам предполагают входящие соединения, а не исходящие соединения, поскольку установление соединения для входящего трафика отображается на порту 80.
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC