netstat 顯示許多來自不同奇怪地方的未知連線。他們只是嘗試建立連線嗎?還是我的伺服器被入侵了?我已從下面的日誌中刪除了我的本地地址:
流連接 8353 P8352 [root@ns512646 ~]# netstat 有效的網路連線(無伺服器) 原始 Recv-Q Send-Q 本機位址 外部位址狀態 tcp 0 0 s1.securityresearch.3:60000 已建立 tcp 0 0 hn.kd.ny.adsl:17353 已建立 tcp 0 0 s4.securityresearch.3:60000 已建立 tcp 0 0 s3.securityresearch.3:60000 已建立 tcp 0 0 hn.kd.ny.adsl:28534 已建立 tcp 0 0 s4.securityresearch.3:60000 已建立
答案1
如果您輸入 netstat -na,它將為您提供更多詳細信息,您有伺服器,但您不知道連接到它的內容。
另外,這是非常基本的請求,參考 man netstat 可以避免您觸發此類請求。
答案2
如果連線已建立,則表示遠端連線主機已成功與主機上偵聽的某些服務協商工作階段。
遺憾的是,刪除此處的「本地地址」欄位會遺漏關鍵資訊。您想知道的是這些遠端主機連接到您電腦上的哪些服務/端口,以及該流量是否合法/預期。
您可以將-p標誌新增至 netstat 中,以提供正在偵聽這些連接埠的進程的 PID 和程式名稱。 (需要 root 權限才能查看您自己的進程以外的進程),並-e顯示該進程正在以哪個使用者身分執行。