我有一個運行 Ubuntu 12.04LTS 的面向外部的 ftp/web 伺服器(帶有虛擬主機),並且我對所看到的一些網路流量有一些擔憂。
一些背景。我嘗試在設定電腦時盡可能採取預防措施,也許是相關的:
- 它直接連接到互聯網並獨立於我們的 LAN,因此如果它受到損害,損害不會蔓延,
- 它
ufw以拒絕優先規則結構運行,僅允許:- 從 LAN IP 位址連接到任何連接埠(用於管理目的)
- 從任何 IP 位址連接到連接埠 21/80(用於服務)
apache2配置為僅允許存取潛在的「危險」網頁,例如管理文件或者安裝程式.php來自 LAN IP 位址,以及- 其他比如自動更新
denyhosts等等。
我擔心的是我正在查看今天早上的輸出nethogs,發現了很多我不理解的條目(我已經刪除了伺服器的 IP 位址並稍微裁剪了列表):
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
所以我的問題,也是顯而易見的擔憂,是這些連結是什麼?為什麼它們歸 root 所有且沒有 PID?為什麼有這麼多?
其他回答建議另一個方向上的類似條目(即從隨機連接埠到 root 擁有的沒有 PID 的外部連接埠 80)表示連接到外部網站,但我不知道情況是否相反,因為我也列出了apache2...我想我在用戶級別對 Linux 很有經驗,但係統管理有點新大部頭書。系統已chkrootkit安裝rkhunter,但運行它們沒有出現任何結果。我顯然想知道我是否有問題,但我也想了解發生了什麼...
附錄
出於興趣,以下是我的結果sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
答案1
由於所有這些流量都連接到中國的電腦(或看起來與 whois 輸出有關),我建議禁止來自該網路 (180.96.0.0/19) 的流量。當然,只要您對連接該網路沒有任何特定興趣。否則我會認為該流量是惡意的,因此是不需要的。
與一個 IP 位址但多個連接埠的連接建議傳入連接而不是傳出連接,因為傳入流量的連接建立顯示在連接埠 80 上。
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC