최근에 트래픽이 없을 것으로 예상되는 경우에도 Odroid의 이더넷 LED가 계속 깜박이는 것을 발견했습니다. 이것을 실행했는데 iptrafSSH 무차별 대입 추측 시도(그런 다음 차단됨) 이외의 fail2banTCP 트래픽은 표시되지 않았습니다 . 그러나 포트 123에서 많은 UDP 트래픽이 발견되었으며 이 트래픽이 어디서 오는지 전혀 모릅니다.
| eth0(46바이트)의 188.130.254.14:443에서 192.168.1.68:123까지의 UDP
| eth0(46바이트)의 188.130.254.14:443에서 192.168.1.68:123까지의 UDP
| eth0(46바이트)의 121.40.223.68:20630에서 192.168.1.68:123까지의 UDP
| eth0의 45.63.62.141:33296에서 192.168.1.68:123까지의 UDP(46바이트)
포트 123에서 들어오는 UDP 트래픽을 알 수 없는 IP 주소로 전달하도록 라우터를 구성했지만 여전히 .net에 많은 UDP 패킷이 표시됩니다 iptraf. 무엇을 기대해야 할지 아는 사람 있나요?
감사해요!
답변1
당신은 말한다
ntpd를 중지했습니다
그렇다면 당신이 관찰하고 있는 것은 거의 확실히 불법 활동입니다. UDP/123 예IANA 할당 포트, 다른 합법적인 응용 프로그램에서는 사용할 수 없습니다.공식 IANA 포트 할당 페이지에는 다음과 같은 내용이 나와 있습니다.:
할당된 시스템 포트와 사용자 포트는 IANA 등록 없이 또는 등록 전에 사용할 수 없습니다.
(시스템 포트는 0-1023 범위의 포트와 동일한 문서에 정의되어 있습니다).
포트TCP/123루트 자격 증명을 획득한 손상된 시스템에서 시스템 포트가 종종 불법 트래픽을 밀수하는 데 사용된다는 것을 나타내는 잘 알려진 악성 코드에서 사용됩니다. TCP 대신 UDP를 사용하는 데에는 여러 가지 합법적인 이유가 있으며, 그 중 가장 중요한 것은 아마도 암호화된 VPN을 사용하는 것일 것입니다(이 경우)라인샤크전혀 도움이 되지 않으며 시스템 포트를 사용합니다(무고한 포트를 사용하면 탐지를 피하기가 더 쉽습니다).
이상라인샤크, 당신의 친구는봄 여름 시즌:
ss -lnup | grep 123
포트 UDP/123에서 수신 대기하는 프로세스 ID가 제공됩니다. 와는 별개로네트워크 전송 프로토콜, 또는 더 나쁜 것은 귀하가 손상되었다는 징후가 없다는 것입니다. 하지만 우리는 그곳에 도착하면 그 다리를 건너게 될 것입니다.
편집하다:
귀하의 의견에 대한 후속 조치. 해킹당했다는 증거는 다음과 같습니다.
UDP/123에서 실행되며 흔적을 남기지 않는 신비한 서비스(루트킷의 존재를 암시)
라우터에 신비한 포트 전달이 나타납니다.
연결에서소비자 계정(확인해 보세요Whatismyipaddress.com또는누구인가?주문하다). 그런데,전혀귀하가 제공한 3개의 IP 주소 중 하나가 원격지에 연결되어 있습니다.네트워크 전송 프로토콜섬기는 사람.
가장 안전한 옵션은 OS를 다시 설치한 다음 라우터의 구성(비밀번호 포함)을 변경하는 것입니다(비밀번호 로그인을 완전히 비활성화하고 대신 암호화 키를 사용할 수도 있음).오직 https연결하다. 중요한 데이터가 있기 때문에 운영 체제를 다시 설치하고 싶지 않은 경우 USB 스틱에서 실행되는 Linux 배포판을 사용하고(Ubuntu에서는 가능) 여기에서 컴퓨터를 부팅할 수 있습니다(아니요하드 드라이브에서) 설치크라마프,헤드 헌터그리고chkroot하드 드라이브에서 작동하도록 설정하세요. 이렇게 하면 맬웨어가 상주하는 디스크가 수동적으로 사용되기 때문에 일부 맬웨어가 맬웨어 방지 프로그램의 탐지를 피할 수 없습니다.즉해당 프로그램이 실행되고 있지 않습니다.
또한 비밀번호로 보호하는 것을 잊지 마세요(실패 2 금지그래도 현재의 보호로는 충분하지 않으므로 항상 암호화 키를 사용해야 합니다. 또한 기본 포트를 변경하십시오.SSH링크를 사용하면 최소한 스크립트 키디에게는 보이지 않게 됩니다(물론 결단력 있는 상대는 결코 그러한 전술에 속지 않을 것입니다). 또한, 당신은 읽고 싶을 수도 있습니다이 게시물, 답변이 포함되어 있어 더 많은 팁을 얻을 수 있습니다.
행운을 빌어요.
답변2
UDP 포트 123은 기본 NTP 포트입니다. 따라서 NTP 구성을 확인하십시오. 아마도 표준 동기화일 것입니다. 패킷을 캡처하고 내용을 검사하려면 tcpdump를 사용해야 합니다(wireshark).
답변3
포트 123에서 UDP 트래픽이 많이 발생하는 것을 발견했는데 그 트래픽이 어디서 오는지 모르겠습니다.
제가 정의한 대규모란 이는 매초, 즉 1분 동안 포트 123에서 트래픽을 보게 된다는 것을 의미합니다.
당신은 이것을 요구하지 않았다고 말했습니다. 예를 들어, 자신을 공개 NTP 서버로 나열하지 않았습니다. :). 또는 이 NTP 서버를 사용하도록 5대의 다른 컴퓨터를 더 구성하고 5대의 컴퓨터가 모두 동시에 켜질 때 트래픽을 감시하세요.
그렇다면 이를 설명할 수 있는 또 다른 가능성이 있습니다. 누군가가 귀하의 컴퓨터를 사용하여 다른 사람들에게 홍수를 일으키려고 할 수도 있습니다. "NTP 증폭 공격"을 찾으십시오. Google의 상위 검색 결과에는 웹 사이트를 홍수로부터 보호하는 서비스를 판매하는 Cloudflare와 같은 회사의 설명이 포함되어 있습니다.
https://www.cloudflare.com/learning/ddos/ntp-amplification-ddos-attack/
(이런 일이 발생하는 것을 직접 보았지만 잘못 구성된 소비자 라우터에서 uPNP 트래픽, UDP 포트 1900을 사용했습니다.)
현시점에서는 공격자가 여전히 사용자를 이용하려고 시도하고 있으며 한동안 그럴 것이라고 가정합니다. 공격 도중에 그들을 막는다면, 그들은 이런 일이 일어나고 있다는 어떤 신호도 받지 못할 것입니다. 나중에 사용할 수 있는 증폭된 NTP 서버를 다시 검색하면 알 수 있습니다.
어떤 이유로 라우터 구성 변경이 작동하지 않는 것 같습니다...
라우터에서 수행한 포트 전달이 적용되는 데 시간이 좀 걸린 것 같습니다. 기본적으로 내가 하는 일은 포트 123의 모든 UDP 트래픽을 192.168.2.3으로 전달하는 것입니다. 내 LAN에서는 모든 IP가 192.168.1.*입니다.트래픽이 내 Linux 상자로 전송되는 이유를 모르겠습니다. 라우터는 내가 수동으로 정의한 포트 전달을 제외한 모든 것을 차단해야 합니다.
오. 이런 조건을 추가하시면 상황이 잘 이해가 안가네요 죄송합니다. 내가 당신이 말하는 것을 따지기 시작하지 않는 이상 당신이 이것을 보고 있는 이유를 이해할 수 없습니다.
때때로 사람들은 기본적으로 특정 규칙이 없는 모든 포트를 전달하는 Odroid와 같은 서버에 "DMZ" 또는 "기본 포트 전달"이라는 별도의 설정을 구성합니다. 처음에는 비슷한 설정이 있는 줄 알았습니다. 내가 당신이라면 이와 같은 구성 옵션을 찾을 것입니다. 이 옵션을 더 일찍 설정하고 잊어버렸을 가능성이 있습니다.
지금까지는 100% 확신할 수 없습니다. 또한 들어오는 UDP만 표시되고 나가는 UDP의 양이 동일하거나 더 높지는 않은지 다시 확인할 수 있습니다. 포트 123에 여전히 예상치 못한 발신 UDP가 "많은" 경우 Odroid가 인계되었음을 나타냅니다. 그런 다음 보안에 특별한 주의를 기울여 처음부터 다시 설치해야 합니다(최신 소프트웨어 및 신중한 SSH 액세스).
나는 이것이 가장 가능성이 높은 설명이라고 생각합니다. 나는 두 번째 경우에 대해 덜 익숙합니다. 특히 ARM 호환 악성 코드를 통한 플러딩 공격(예: SSH 또는 웹 서버를 통한 공격)으로 인해 일반 서버 Linux 배포판이 손상되었다는 인기 있는 기사를 본 적이 없습니다. 이 모든 것이 가능하지만 그것이 얼마나 일반적인지는 모르겠습니다.
답변4
트래픽 캡처를 사용한 tcpdump다음 pcap 파일을 컴퓨터에 복사하고 Wireshark에서 검사할 수 있습니다. 이름에 속지 마십시오. tcpdump는 UDP 패킷도 캡처합니다.