caw*_*caw 8 server firewall networking traffic nethogs
在 Ubuntu 16.04(网络)服务器上使用 NetHogs,即在没有安装消费者应用程序或网络浏览器的机器上,除了预期的流量(HTTP 和 SSH)
PID USER PROGRAM DEV SENT RECEIVED
5266 www-data /usr/sbin/apache2 eth0 15.142 2.924 KB/sec
4698 <ME> sshd: <ME>@pts/0 eth0 0.899 0.071 KB/sec
我还看到了很多类似这样的可疑连接:
PID USER PROGRAM DEV SENT RECEIVED
? root <SERVER_IP_V4>:515-122.228.XXX.XXX:43652 0.000 0.000 KB/sec
? root <SERVER_IP_V4>:4946-92.118.XXX.XXX:44243 0.000 0.000 KB/sec
? root <SERVER_IP_V4>:1703-94.177.XXX.XXX:51820 0.000 0.000 KB/sec
? root <SERVER_IP_V4>:1433-123.207.XXX.XXX:45628 0.000 0.000 KB/sec
? root <SERVER_IP_V4>:34568-223.71.XXX.XXX:40922 0.000 0.011 KB/sec
? root <SERVER_IP_V4>:9444-51.91.XXX.XXX:46170 0.000 0.000 KB/sec
? root unknown TCP 0.000 0.000 KB/sec
所以它们没有关联的进程 ID [1],都由 运行root,似乎是从随机端口到其他随机端口的传出连接(即没有传出 HTTP 请求[2] [3]),没有关联的设备,并且几乎没有流量[4]。
根据 ,目的地地址的地理来源似乎是中国、俄罗斯联邦和塞舌尔等whois。
根据ufw status verbose,我的防火墙规则实际上应该阻止除 SSH 和 HTTP(S) 之外的任何传入流量。那么这些传出连接肯定是由主机上运行的恶意程序引起的,对吧?
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22/tcp LIMIT IN Anywhere
80/tcp ALLOW IN Anywhere
443/tcp ALLOW IN Anywhere
这确实是可疑的,甚至是恶意流量的证据,还是一些误报(出于某种原因,我可能没有看到)?
还是每对中两个 IP 地址的顺序不相关[5] [6],因此这些实际上可能是传入连接?如果是这样,如果 UFW 已配置为阻止此类连接,这怎么会发生,并且这些连接之一如何传输数据?
| 归档时间: |
|
| 查看次数: |
538 次 |
| 最近记录: |