今天我的 Ubuntu 12.04 电脑崩溃了,我不得不强制关闭它,但它从来没有这样做过。然后在重新启动后,我运行了 wireshark,看到了随机的 dns 请求和一个我从未见过的协议“dec dna”,以及许多奇怪的 udp 流。我运行了
netstat -la 输出如下:
root@linuxbox:~# netstat -la
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:domain *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 localhost:ipp *:* LISTEN
tcp 0 0 localhost:mysql *:* LISTEN
tcp 0 0 *:http *:* LISTEN
tcp6 0 0 [::]:ssh [::]:* LISTEN
tcp6 0 0 ip6-localhost:ipp [::]:* LISTEN
udp 0 0 *:1900 *:*
udp 0 0 *:40322 *:*
udp 0 0 localhost:domain *:*
udp 0 0 localhost:ntp *:*
udp 0 0 *:ntp *:*
udp 0 0 *:mdns *:*
udp6 0 0 fe80::7879:ff:fe00::ntp [::]:*
udp6 0 0 fe80::12fe:edff:fe2:ntp [::]:*
udp6 0 0 fe80::216:6fff:fe4d:ntp [::]:*
udp6 0 0 ip6-localhost:ntp [::]:*
udp6 0 0 [::]:ntp [::]:*
udp6 0 0 [::]:47318 [::]:*
udp6 0 0 [::]:mdns [::]:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 11019 /tmp/.X11-unix/X0
unix 2 [ ACC ] STREAM LISTENING 11618 /tmp/.winbindd/pipe
unix 2 [ ACC ] STREAM LISTENING 13721 /tmp/keyring-HyNZDz/control
unix 2 [ ACC ] STREAM LISTENING 13860 /tmp/ssh-COlALKGR2295/agent.2295
unix 2 [ ACC ] STREAM LISTENING 13890 /tmp/.ICE-unix/2295
unix 2 [ ACC ] STREAM LISTENING 14080 /tmp/keyring-HyNZDz/pkcs11
unix 2 [ ACC ] STREAM LISTENING 14084 /tmp/keyring-HyNZDz/ssh
unix 2 [ ACC ] STREAM LISTENING 14085 /tmp/keyring-HyNZDz/gpg
unix 2 [ ACC ] STREAM LISTENING 10790 /var/run/acpid.socket
unix 2 [ ACC ] SEQPACKET LISTENING 7973 /run/udev/control
unix 19 [ ] DGRAM 10025 /dev/log
unix 2 [ ACC ] STREAM LISTENING 7850 @/com/ubuntu/mountall
...还有很多,我无法在这里列出。
... 有人能告诉我那些奇怪的监听服务是什么吗?我家里的局域网上有一个网络服务器,今天出于安全原因将它移到了 VPS 上。我注意到前一周网络上发生了一些奇怪的事情,但这似乎不正常。我以前从未见过这种情况。有人能帮帮我吗?Rkhunter 似乎没有发现任何东西。我登录到我的 openvpn,再次运行 wireshark,注意到来自随机 ip 的 ssh 连接。我运行了“who”,没有其他人在这里。但随后 wireshark 开始显示我的 openvpn 流量的 tcp 重定向,反复显示,直到我断开连接。我应该注意到,这现在也发生在我同一网络上的另一台 ubuntu 计算机上。
我不再需要这方面的帮助。进一步挖掘后,我发现这些都是正常服务,并且 ls -la 和 ls -a 的输出不是一回事……我已经两天没睡觉了,所以请原谅我的无知。
答案1
这些都是非常正常的监听服务在运行,没有出现任何可疑的情况!
这些监听端口和套接字的解释,
*:sshSSH 服务器是否正在监听 22 [可从所有 IP 访问]*:httpWeb 服务器是否正在监听 80 [可通过所有 IP 访问]localhost:domainDNS 解析器正在监听 53 [本地可访问] [安全]localhost:ippcpusd(打印内容)正在监听 631 [本地可访问] [安全]localhost:mysqlMySQL 是否如其所示在 3306 上监听 [本地可访问] [安全]mdns并ntp与 DNS 和网络时间相关联。- 所有 Unix 套接字/流也都显示正常,这些都是常见的套接字。
检查实时 DNS 查询(-i <2>接口号)
tshark -D(列出接口)
time tshark -n -i 2 -R "dns.flags.response == 0" | tee ~/dns.log; wc ~/dns.log
less ~/dns.log(手动查看日志)
不过,我建议您对网络流量进行更多调查,因为您提到您观察到了许多 DNS 重定向,因此为了深入研究,请检查传输的内容、源/目标地址和相应的端口,这应该可以更深入地了解导致重定向的具体原因。