在 Ubuntu 16.04(网络)服务器上使用 NetHogs,即在未安装任何消费者应用程序或网络浏览器的机器上,除了预期的流量(HTTP 和 SSH)
PID USER PROGRAM DEV SENT RECEIVED
5266 www-data /usr/sbin/apache2 eth0 15.142 2.924 KB/sec
4698 <ME> sshd: <ME>@pts/0 eth0 0.899 0.071 KB/sec
我还看到不少可疑的连接,如下所示:
PID USER PROGRAM DEV SENT RECEIVED
? root <SERVER_IP_V4>:515-122.228.XXX.XXX:43652 0.000 0.000 KB/sec
? root <SERVER_IP_V4>:4946-92.118.XXX.XXX:44243 0.000 0.000 KB/sec
? root <SERVER_IP_V4>:1703-94.177.XXX.XXX:51820 0.000 0.000 KB/sec
? root <SERVER_IP_V4>:1433-123.207.XXX.XXX:45628 0.000 0.000 KB/sec
? root <SERVER_IP_V4>:34568-223.71.XXX.XXX:40922 0.000 0.011 KB/sec
? root <SERVER_IP_V4>:9444-51.91.XXX.XXX:46170 0.000 0.000 KB/sec
? root unknown TCP 0.000 0.000 KB/sec
所以它们没有关联的进程 ID[1],都是由 运行的root
,似乎是从随机端口到其他随机端口的传出连接(即没有传出的 HTTP 请求[2] [3])、没有关联设备,且流量很少或没有[4]。
按照,目的地地址的地理位置似乎是中国、俄罗斯联邦和塞舌尔等whois
。
根据 ,我的防火墙规则ufw status verbose
实际上应该阻止除 SSH 和 HTTP(S) 之外的任何传入流量。因此,这些传出连接一定是由主机上运行的恶意程序引起的,对吗?
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22/tcp LIMIT IN Anywhere
80/tcp ALLOW IN Anywhere
443/tcp ALLOW IN Anywhere
这确实是可疑的,甚至是恶意流量的证据吗,或者这些是一些误报(由于某种原因我可能没有看到)?
或者每对中的两个 IP 地址的顺序无关紧要[5] [6],因此这些实际上可能是传入连接?如果是这样,如果已将 UFW 配置为阻止此类连接,怎么会发生这种情况,这些连接之一怎么能传输数据呢?
答案1
这个问题已经过时了,但我认为你可以接受这个链接作为解释。