CSF(구성 서버 방화벽)를 실행하는 CentOS 웹 서버입니다. 웹, 메일 및 FTP 서비스에 대해 나열된 포트 80 81 22 21 등을 제외한 모든 아웃바운드/인바운드 트래픽을 차단합니다.
나는 해커 등으로부터 많은 인바운드 차단을 보는 데 익숙하지만 아래의 아웃바운드 블록을 보고 이 트래픽의 원인을 찾아 시도하고 발견할 수 있는 위치에 대한 제안에 감사드립니다.
9월 26일 12:40:28 raelkernel: 방화벽: *TCP_OUT 차단됨* IN= OUT=eth0 SRC=xx.xx.xx.xx DST=54.241.137.2 LEN=60 TOS=0x00 PREC=0x00 TTL= 64 ID=54974 DF PROTO=TCP SPT=49907 DPT=31000 WINDOW=14600 RES=0x00 SYN URGP=0 UID=509 GID=509
내 서버 XX는 SRC 소스 IP이고 대상 IP는 Amazon Web Services에 속하는 것으로 보입니다.
로그에 나열된 UID GID는 웹 사이트를 호스팅하는 사용자의 GID이지만 웹 사이트에는 명확한 내용이 없습니다. AWS에 접속하려는 일종의 스크립트가 있어야 한다고 생각합니다.
답변1
누군가에게 도움이 될 수 있는 경우를 대비해 이 문제를 어떻게 해결했습니까?
몇 가지 정보를 읽고 검색한 후 다음을 사용하여 차단된 아웃바운드 패킷의 소스를 추적했습니다.
UID가 방화벽 로그에 언급되어 있습니다.UID=509
awk -v val=509 -F ":" '$3==val{print $1}' /etc/passwd
그러면 사용자 이름이 제공되고 grepIP가 Amazon AWS에 속하므로 Amazon에 대한 사용자 계정을 생성합니다.
grep -r amazon /home/username
일부 데이터는 처리해야 하므로 추가 읽기를 위해 파일로 파이프됩니다.
grep -r amazon /home/username >/home/filename
경고하다파일을 greping 중인 동일한 디렉토리에 저장하지 마십시오. 그렇지 않으면 파일이 무한히 커지게 됩니다.
이는 Amazon 클라우드의 차단된 아웃바운드 포트에 사용자 웹사이트를 백업하려고 시도하는 WordPress 플러그인인 updraftplus로 밝혀졌습니다.