运行着 CSF(配置服务器防火墙)的 CentOS Web 服务器。阻止除列出的 Web、邮件和 FTP 服务等端口 80 81 22 21 等之外的所有出站/入站流量。
我习惯于看到来自黑客等的大量入站块,但看到下面的出站块并欣赏关于在哪里尝试和发现导致此流量的原因的建议。
9 月 26 日 12:40:28 雷尔内核:防火墙:*TCP_OUT 被阻止* IN= OUT=eth0 SRC=xx.xx.xx.xx DST=54.241.137.2 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54974 DF PROTO=TCP SPT=49907 DPT=31000 WINDOW=14600 RES=0x00 SYN URGP=0 UID=509 GID=509
我的服务器 XX 是 SRC 源 IP 和目标 IP 似乎属于 Amazon Web 服务。
日志中列出的 UID GID 是托管网站的用户的 UID GID,但在网站中看不到任何明显的内容。我认为一定有某种脚本试图联系 AWS。
答案1
我如何解决这个问题以防万一它可能对任何人都有帮助。
经过一些阅读/谷歌搜索后,我使用下面的内容来追踪被阻止的出站数据包的来源。
防火墙日志中提到了 UIDUID=509
awk -v val=509 -F ":" '$3==val{print $1}' /etc/passwd
这给出了用户名,然后我grep为亚马逊创建了一个用户帐户,因为IP属于亚马逊AWS
grep -r amazon /home/username
由于需要处理一些数据,因此将其通过管道传输到文件以供进一步阅读。
grep -r amazon /home/username >/home/filename
警告确保不要将文件保存到您正在 grep 的同一目录,否则您将得到一个无限增长的文件。
原来是一个 WordPress 插件 updraftplus,试图将用户网站备份到亚马逊云上被阻止的出站端口。