netstat показывает много неизвестных подключений из разных странных мест. это просто попытка установить соединение? или мой сервер скомпрометирован? Я удалил свои локальные адреса из журнала ниже:
ПОТОК ПОДКЛЮЧЕН 8353 P8352 [root@ns512646 ~]# netstat Активные интернет-соединения (без серверов) Proto Recv-Q Send-Q Локальный адрес Внешний адрес Состояние tcp 0 0 s1.securityresearch.3:60000 УСТАНОВЛЕНО tcp 0 0 hn.kd.ny.adsl:17353 УСТАНОВЛЕНО tcp 0 0 s4.securityresearch.3:60000 УСТАНОВЛЕНО tcp 0 0 s3.securityresearch.3:60000 УСТАНОВЛЕНО tcp 0 0 hn.kd.ny.adsl:28534 УСТАНОВЛЕНО tcp 0 0 s4.securityresearch.3:60000 УСТАНОВЛЕНО
решение1
Если вы введете netstat -na, то получите более подробную информацию. У вас есть сервер, но вы не знаете, что к нему подключено.
Кроме того, это очень простой запрос, ссылка на man netstat избавила бы вас от необходимости отправлять такой запрос.
решение2
Если соединения УСТАНОВЛЕНЫ, это означает, что удаленный подключающийся хост успешно установил сеанс с какой-либо службой, прослушивающей ваш хост.
Удаление столбца Local Address здесь, к сожалению, упускает ключевую информацию. То, что вы хотите знать, это какие службы/порты подключаются к этим удаленным хостам на вашей машине, и является ли этот трафик законным/ожидаемым или нет.
Вы можете добавить -pфлаг в netstat, чтобы получить PID и имя программы процессов, прослушивающих эти порты. (Требуются права root для просмотра процессов, отличных от вашего собственного), а также -eчтобы узнать, от имени какого пользователя запущен процесс.