我拥有一个运行 Ubuntu 和 Apache 的 VPS。
最近我不断收到来自 IP static-195.22.94.120.addr.tdcsong.se.54303 > : 12337 的请求
我已经安装了“arno-iptables-firewall”。让 iptables 阻止 195.22.94.120
如果我通过 tcpdump 查看,我仍然会收到来自该 IP 的请求。
我可以知道我还能做些什么来保护我的 VPS 吗?谢谢。
答案1
12337 端口上是否有监听设备?这netstat --inet显示了什么?也许您安装了您不知道的 rootkit 或机器人?如果您没有监听该端口,您为什么还要关心他们是否在敲门?如果确实有监听设备,请找出它是什么,并确保它确实存在。
答案2
为了安全起见,如果您正在运行tcpdump并且没有任何内容在监听端口 12337,您应该会看到连接被“重置”,如下所示:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
23:12:41.063781 IP 1.1.1.1.57039 > 2.2.2.2.12337: S 2687592758:2687592758(0) win 65535 <mss 1452,nop,wscale 3,nop,nop,timestamp 444707996 0,sackOK,eol>
23:12:41.063805 IP 2.2.2.2.12337 > 1.1.1.1.57039: R 0:0(0) ack 2687592759 win 0
注意最后一行:R 0:0(0),表示连接已“重置”。如果您看到以下内容:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
23:14:46.434607 IP 1.1.1.1.57058 > 2.2.2.2.12337: S 3988391384:3988391384(0) win 65535 <mss 1452,nop,wscale 3,nop,nop,timestamp 444709249 0,sackOK,eol>
23:14:46.434659 IP 2.2.2.2.12337 > 1.1.1.1.57058: S 1969317214:1969317214(0) ack 3988391385 win 5792 <mss 1460,sackOK,timestamp 171652775 444709249,nop,wscale 7>
23:14:46.562977 IP 1.1.1.1.57058 > 2.2.2.2.12337: . ack 1 win 65535 <nop,nop,timestamp 444709251 171652775>
换句话说,Syn、Syn-ack和 anack表示远程 IP 已成功连接到您系统的该端口。如果netstat没有显示任何正在监听该端口的信息,则很可能您的系统已被 root,您应该将其从网络中移除并进行调查。