我受雇修复服务器的黑客问题,我发现 IP 37.187.253.240 和一些其他 IP 可以连接到特定端口,而这些端口是不允许的!
服务器上安装了 csf 防火墙,但 csf.conf 中并未对所有端口开放。
仅一些 IP 被添加到列表 csf.allow 中。
当前 iptables 状态为iptables -L:INPUT 链(DROP 策略),仅对某些 ip 具有 ACCEPT 策略。并且此 ip 37.187.253.240 没有任何规则。
为确保 csf 不是原因,如果我通过停止 csfcsf -x并刷新 iptables 规则iptables -F,然后仅为该 ip 添加 DROP 规则iptables -A INPUT -p tcp -s 37.187.253.240 -j DROP,我看到它也可以通过 netstat 连接
tcp 0 0 myip:port 37.187.253.240:16132 ESTABLISHED
Ubuntu 14.04.3 LTS,托管于 vmware.com。
这种情况发生的可能性有多大?