NetHogs 在 Ubuntu 16.04 上显示从 root 到随机端口的可疑(传出)流量

NetHogs 在 Ubuntu 16.04 上显示从 root 到随机端口的可疑(传出)流量

在 Ubuntu 16.04(网络)服务器上使用 NetHogs,即在未安装任何消费者应用程序或网络浏览器的机器上,除了预期的流量(HTTP 和 SSH)

 PID USER     PROGRAM                                           DEV        SENT      RECEIVED       
5266 www-data /usr/sbin/apache2                                 eth0      15.142       2.924 KB/sec
4698 <ME>     sshd: <ME>@pts/0                                  eth0       0.899       0.071 KB/sec

我还看到不少可疑的连接,如下所示:

 PID USER     PROGRAM                                           DEV        SENT      RECEIVED       
   ? root     <SERVER_IP_V4>:515-122.228.XXX.XXX:43652                     0.000       0.000 KB/sec
   ? root     <SERVER_IP_V4>:4946-92.118.XXX.XXX:44243                     0.000       0.000 KB/sec
   ? root     <SERVER_IP_V4>:1703-94.177.XXX.XXX:51820                     0.000       0.000 KB/sec
   ? root     <SERVER_IP_V4>:1433-123.207.XXX.XXX:45628                    0.000       0.000 KB/sec
   ? root     <SERVER_IP_V4>:34568-223.71.XXX.XXX:40922                    0.000       0.011 KB/sec
   ? root     <SERVER_IP_V4>:9444-51.91.XXX.XXX:46170                      0.000       0.000 KB/sec
   ? root     unknown TCP                                                  0.000       0.000 KB/sec

所以它们没有关联的进程 ID[1],都是由 运行的root,似乎是从随机端口到其他随机端口的传出连接(即没有传出的 HTTP 请求[2] [3])、没有关联设备,且流量很少或没有[4]

按照,目的地地址的地理位置似乎是中国、俄罗斯联邦和塞舌尔等whois

根据 ,我的防火墙规则ufw status verbose实际上应该阻止除 SSH 和 HTTP(S) 之外的任何传入流量。因此,这些传出连接一定是由主机上运行的恶意程序引起的,对吗?

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     LIMIT IN    Anywhere                  
80/tcp                     ALLOW IN    Anywhere                  
443/tcp                    ALLOW IN    Anywhere                  

这确实是可疑的,甚至是恶意流量的证据吗,或者这些是一些误报(由于某种原因我可能没有看到)?

或者每对中的两个 IP 地址的顺序无关紧要[5] [6],因此这些实际上可能是传入连接?如果是这样,如果已将 UFW 配置为阻止此类连接,怎么会发生这种情况,这些连接之一怎么能传输数据呢?

答案1

这个问题已经过时了,但我认为你可以接受这个链接作为解释。

unix.stackexchange.com/q/91055/456032

相关内容