netstat 显示很多来自不同奇怪地方的未知连接。他们只是试图建立连接吗?还是我的服务器被入侵了?我已从以下日志中删除了我的本地地址:
流连接 8353 P8352 [root@ns512646 ~]# netstat 活动互联网连接(无服务器) Proto Recv-Q Send-Q 本地地址 外部地址 状态 tcp 0 0 s1.securityresearch.3:60000 已建立 tcp 0 0 hn.kd.ny.adsl:17353 已建立 tcp 0 0 s4.securityresearch.3:60000 已建立 tcp 0 0 s3.securityresearch.3:60000 已建立 tcp 0 0 hn.kd.ny.adsl:28534 已建立 tcp 0 0 s4.securityresearch.3:60000 已建立
答案1
如果您输入 netstat -na,它将为您提供更多详细信息,您有服务器,但您不知道与其连接的内容。
此外,这是一个非常基本的请求,参考 man netstat 就免去了您发出这样的请求。
答案2
如果连接已建立,则意味着远程连接主机已成功与主机上侦听的某些服务协商会话。
不幸的是,删除此处的“本地地址”列会遗漏关键信息。您想知道的是这些远程主机正在连接到您机器上的哪些服务/端口,以及该流量是否合法/符合预期。
您可以将-p标志添加到 netstat,以便为您提供监听这些端口的进程的 PID 和程序名称。(需要 root 权限才能查看您自己的进程以外的进程),并-e显示进程以哪个用户身份运行。