我有一个我认为是干净的 CentOS 7 系统,我想查看网络流量,所以我安装了 NetHogs。我很惊讶地看到出现了随机连接,主要是到亚太地区的 RIPE 网络。然而,我还看到了到美国和中美洲的连接。
NetHogs version 0.8.2-SNAPSHOT
PID USER PROGRAM DEV SENT RECEIVED
1421 tnsun sshd: tnsun@pts/0 enp0s3 0.568 0.064 KB/sec
? root xxx.xxx.xxx.xxx:1433-156.3.174.102:56800 0.000 0.000 KB/sec
? root xxx.xxx.xxx.xxx:3306-123.249.45.210:46686 0.000 0.000 KB/sec
? root xxx.xxx.xxx.xxx:111-66.240.236.119:11748 0.000 0.000 KB/sec
? root xxx.xxx.xxx.xxx:23-191.109.233.156:56641 0.000 0.000 KB/sec
? root unknown TCP 0.000 0.000 KB/sec
TOTAL 0.568 0.064 KB/sec
我认为自己被黑客入侵了,而且由于该服务器尚未上线,我决定最简单的办法就是创建另一个虚拟机。
从头开始,我安装了最小版本的 CentOS 7,并启动了网络。我立即禁用了 root ssh 登录,执行了 yum 更新,并安装了 iptables,阻止了几乎所有操作。
然后我安装了 vim,出于好奇又安装了 NetHogs。这需要 EPEL Repo,但我需要它来做其他事情,所以我启用了它。
运行 NetHogs 后我发现,即使是在一个使用了不到 30 分钟且没有使用过的新 IP 地址的 VM 上,系统仍然在与未知主机建立连接。
我安装的某些东西会受到损害吗?我安装的所有内容都来自默认存储库,除了 NetHogs 来自 EPEL 存储库。
答案1
我想到了。
- 由于 IP 的顺序,我误以为这些都是传出连接。显然,无论谁发起连接,本地 IP 总是第一个。
- 我还假设 iptables 阻止了所有不允许的内容。这是有道理的。系统至少必须获取标头信息才能确定是否应阻止它。
这些只是探测开放端口的系统。我没有被黑客入侵。:)