最近我注意到,即使我预计没有流量,我的 Odroid 的以太网 LED 也会不断闪烁。我跑了iptraf,除了 SSH 暴力猜测尝试(然后被阻止fail2ban)之外,我没有看到任何 TCP 流量。然而,我注意到端口 123 上有大量 UDP 流量,我不知道这些流量来自哪里。
| eth0 上从 188.130.254.14:443 到 192.168.1.68:123 的 UDP(46 字节)
| eth0 上从 188.130.254.14:443 到 192.168.1.68:123 的 UDP(46 字节)
| eth0 上从 121.40.223.68:20630 到 192.168.1.68:123 的 UDP(46 字节)
| UDP(46 字节)从 45.63.62.141:33296 到 eth0 上的 192.168.1.68:123
我将路由器配置为将端口 123 上的传入 UDP 流量转发到未知的 IP 地址,但仍然在 .net 上看到大量的 UDP 数据包iptraf。有人知道会发生什么吗?
谢谢!
答案1
你说
我已经停止ntpd了
那么您所观察到的几乎肯定是非法活动。 UDP/123 是IANA 分配的端口,它不能被任何其他合法应用程序使用:官方 IANA 端口分配页面指出:
未经 IANA 注册或在 IANA 注册之前,不得使用分配的系统端口和用户端口。
(系统端口在同一文档中被定义为 0-1023 范围内的端口)。
端口 TCP/123被一个众所周知的恶意软件使用,表明在已获取根凭据的受感染系统中,系统端口通常用于走私非法流量。使用 UDP 而不是 TCP 有许多合理的原因,其中最重要的一个可能是使用加密的 VPN(在这种情况下)线鲨对您没有丝毫帮助),并且使用系统端口(如果使用无辜端口,则更容易逃避检测)。
多于线鲨,你的朋友是SS:
ss -lnup | grep 123
将为您提供侦听端口 UDP/123 的进程 ID。除了网络传输协议,或者,更糟糕的是,没有任何迹象表明您已被侵入。但当我们到达那里时,我们会跨过那座桥。
编辑:
您的评论的后续行动。这些证据表明您已被黑客攻击:
一个在 UDP/123 上运行的神秘服务,没有留下任何痕迹(这表明存在 rootkit);
路由器上出现神秘的端口转发;
连接来自消费者账户(检查它们Whatismyipaddress.com或与谁是命令)。顺便提一句,没有任何您提供的三个 IP 地址中的一个甚至与某个远程连接网络传输协议服务器。
最安全的选择是重新安装操作系统,然后更改路由器的配置(包括密码!!)(可能完全禁用密码登录,转而使用加密密钥)以允许仅有的 https连接。如果您因为有敏感数据而不想重新安装操作系统,则可以使用从 USB 记忆棒运行的任何 Linux 发行版(Ubuntu 就可以),从它启动您的电脑(不是从您的硬盘),安装克拉马夫,猎头者和chkroot并将它们设置为在您的硬盘上工作。这可以避免某些恶意软件逃避反恶意软件程序检测的能力,因为恶意软件所在的磁盘正在被被动使用,IE其上的程序未运行。
另外,请记住密码保护(失败2禁止尽管如此)现在的保护还不够,您应该始终使用加密密钥。另外,更改默认端口SSH连接使你至少对脚本小子来说是隐形的(尽管任何坚定的对手永远不会被这样的策略愚弄)。另外,您可能希望阅读这个帖子,包括答案,以获得更多提示。
祝你好运。
答案2
UDP 端口 123 是默认 NTP 端口。因此请检查您的 NTP 配置。最有可能的是标准同步。您必须使用 tcpdump 捕获数据包并检查内容(wireshark)。
答案3
我注意到端口 123 上有大量 UDP 流量,我不知道这些流量来自哪里。
在我对大规模的定义中,这意味着您每秒都会看到端口 123 上的流量,例如一整分钟。
你说你没有要求这个。例如,您尚未将自己列为公共 NTP 服务器:)。或者配置 5 台以上的其他计算机来使用此 NTP 服务器,并在所有 5 台计算机同时打开时观察流量。
如果是这样,还有另一种可能性可以解释这一点。有人可能试图使用您的计算机对其他人进行洪水攻击。查找“NTP放大攻击”。谷歌的热门搜索结果包括 Cloudflare 等公司的解释,这些公司销售保护网站免受洪水攻击的服务。
https://www.cloudflare.com/learning/ddos/ntp-amplification-ddos-attack/
(我自己也见过这种情况,但在配置错误的消费者路由器上使用 uPNP 流量、UDP 端口 1900。)
此时,我的假设是攻击者仍在尝试利用您,并将持续一段时间。如果你在攻击中途阻止他们,他们不一定会收到任何发生这种情况的信号。他们稍后可能会注意到,当他们重新扫描可以使用的放大 NTP 服务器时。
听起来好像您的路由器配置更改由于某种原因不起作用......
我想我在路由器上进行的端口转发需要一段时间才能生效。基本上我所做的是将端口 123 上的所有 UDP 流量转发到 192.168.2.3。在我的 LAN 上,所有 IP 均为 192.168.1.*。我不知道为什么流量会被传送到我的 Linux 机器上。路由器应该阻止除我手动定义的端口转发之外的所有内容。
哦。如果加上这个条件,我就不太明白情况了,抱歉。我不明白为什么你会看到这些情况,除非我开始挑剔你所说的内容。
请注意,有时人们会配置一个单独的设置,标记为“DMZ”或“默认端口转发”到像 Odroid 这样的服务器,它基本上会转发您没有特定规则的所有端口。我最初以为你有类似的设置。如果我是你,我会寻找这样的配置选项。很有可能我会更早设置此选项并忘记它。
到目前为止我还不是100%确定。我还可以仔细检查我是否只看到传入的 UDP,并且我没有看到相同或更多数量的传出 UDP。如果端口 123 上还有“大量”意外传出 UDP,则表明 Odroid 已被接管。然后您应该从头开始重新安装它,并特别注意安全性(最新的软件,并小心 SSH 访问)。
我认为这些是最有可能的解释。第二个案例我不太熟悉。我还没有看到过有关通用服务器 Linux 发行版因洪水攻击(即通过 SSH 或 Web 服务器进行攻击)而受到损害的热门文章,尤其是与 ARM 兼容的恶意软件。所有这些都是可能的,但我不知道它有多普遍。
答案4
您可以使用tcpdump捕获流量,然后将 pcap 文件复制到您的电脑并在wireshark 中检查它。不要被名字所迷惑,tcpdump 也捕获 udp 数据包。