我花了一整天的时间试图找到问题的答案,但没有成功,所以我决定在这里写下来。我不是 Linux 专家,所以如果我的问题很愚蠢,请原谅。我在我的 中看到了以下消息/var/log/syslog
:
applications kernel: [24592.875919] [UFW BLOCK] IN= OUT=ens18 SRC=192.168.1.100 DST=91.189.89.199 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=36213 DF PROTO=UDP SPT=33338 DPT=123 LEN=56
其中 192.168.1.100 是我的服务器的 IP 地址。请注意,我定义了 UFW 规则,因此除非绝对必要,否则不会打开任何传出或传入端口,因此阻止此类请求是正确的操作。现在我猜测我的服务器中某个地方有一个恶意文件,每 30 分钟左右触发一次这种情况(这是日志中显示的频率),但是,每次尝试的目标 IP 和 SPT 都不同。现在我想找到导致此消息的可执行文件/进程/或任何内容,但到目前为止还没有运气!
我将非常感激您所给予的任何帮助。
答案1
对于您的示例阻止数据包,关键指标是目标端口 123。这是网络时间协议端口。因此,提示是服务是 NTP,Ubuntu 确实在运行它。第二个指标是查找为的目标地址golem.canonical.com
,我假设它是 Ubuntu NTP 主机。实际上,对进行反向查找ntp.ubuntu.com
会得到相同的 IP,因此它有一些别名:
$ nslookup ntp.ubuntu.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: ntp.ubuntu.com
Address: 91.189.89.198
Name: ntp.ubuntu.com
Address: 91.189.89.199
Name: ntp.ubuntu.com
Address: 91.189.94.4
Name: ntp.ubuntu.com
Address: 91.189.91.157
因此该服务是 NTP。
通过以下方式检查(此示例在服务器上,也许桌面也一样):
$ systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2020-08-19 15:22:05 PDT; 16h ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 640 (systemd-timesyn)
Status: "Initial synchronization to time server 91.189.89.199:123 (ntp.ubuntu.com)."
Tasks: 2 (limit: 18892)
Memory: 1.2M
CGroup: /system.slice/systemd-timesyncd.service
└─640 /lib/systemd/systemd-timesyncd
Aug 19 15:22:05 s18 systemd[1]: Starting Network Time Synchronization...
Aug 19 15:22:05 s18 systemd[1]: Started Network Time Synchronization.
Aug 19 15:22:11 s18 systemd-timesyncd[640]: Network configuration changed, trying to establish connection.
Aug 19 15:22:11 s18 systemd-timesyncd[640]: Initial synchronization to time server 91.189.89.199:123 (ntp.ubuntu.com).
虽然我的正在工作,但是你的将无法同步,因为你阻止了数据包。