我们注意到我们的几台 ubuntu 服务器正在向我们不认识的 IP 发送大量 udp 流量。服务器可能被感染了吗?我们如何才能发现?服务器上安装了 postfix。这些机器上唯一开放的端口是 smtp 和 pop3。
答案1
UDP 用于多种服务。如果您只打开了 SMTP 和 POP3,则应该没有 UDP 流量。我假设您在 TCP 和 UDP 上也打开了 DNS。大量流量是一个相当不精确的测量。它是您流量或带宽的 1%,还是 90%。
如果您允许接收电子邮件,我假设您还运行了某种邮件扫描软件。这应该会产生相当多的 DNS 查找。因此,建议您在主机上运行缓存 DNS 服务器。UDP 也被其他一些用于识别垃圾邮件的资源使用。
该命令sudo netstat -anp | grep udp | grep less将列出使用 UDP 和相关程序的连接。这可能有助于识别流量来源。重复该命令几次sudo netstat -anp | grep udp | grep EST | less可以让您知道这是否是一个持续的连接。
您可以使用它tcpdump来检查流量并确定正在传递的数据类型。这将让您知道流量是否合法。
您可以使用的另一个工具是ntop按协议和主机汇总流量。它可以让您了解正在通过哪些流量。
您可以在 中插入阻止规则iptables。这可以按 IP 地址、协议或协议和端口阻止流量。如果流量合法,请准备好快速删除规则。