我有一个运行 Ubuntu 12.04LTS 的面向外部的 ftp/web 服务器(带有虚拟主机),并且我对所看到的一些网络流量有一些担忧。
一些背景。我尝试在设置计算机时尽可能采取预防措施,也许是相关的:
- 它直接连接到互联网并独立于我们的 LAN,因此如果它受到损害,损害不会蔓延,
- 它
ufw以拒绝优先规则结构运行,仅允许:- 从 LAN IP 地址连接到任何端口(用于管理目的)
- 从任何 IP 地址连接到端口 21/80(用于服务)
apache2配置为仅允许访问潜在的“危险”网页,例如管理文件或者安装程序.php来自 LAN IP 地址,以及- 其他比如自动更新
denyhosts等等。
我担心的是我正在查看今天早上的输出nethogs,发现了很多我不理解的条目(我已经删除了服务器的 IP 地址并稍微裁剪了列表):
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
所以我的问题,也是显而易见的担忧,是这些联系是什么?为什么它们归 root 所有并且没有 PID?为什么有这么多?
其他回答建议另一个方向上的类似条目(即从随机端口到 root 拥有的没有 PID 的外部端口 80)表示连接到外部网站,但我不知道情况是否相反,因为我也列出了apache2...我想我在用户级别对 Linux 很有经验,但系统管理有点新大部头书。系统已chkrootkit安装rkhunter,但运行它们没有出现任何结果。我显然想知道我是否有问题,但我也想了解发生了什么......
附录
出于兴趣,以下是我的结果sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
答案1
由于所有这些流量都连接到中国的计算机(或者看起来与 whois 输出有关),我建议禁止来自该网络 (180.96.0.0/19) 的流量。当然,只要您对连接该网络没有任何具体兴趣。否则我会认为该流量是恶意的,因此是不需要的。
与一个 IP 地址但多个端口的连接建议传入连接而不是传出连接,因为传入流量的连接建立显示在端口 80 上。
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC