저는 Ubuntu 12.04LTS를 실행하는 외부 FTP/웹 서버(가상 호스팅 포함)를 가지고 있는데, 현재 보고 있는 일부 네트워크 트래픽이 조금 걱정됩니다.
일부 배경. 나는 컴퓨터를 설정할 때 가능한 한 많은 예방조치를 취하려고 노력하는데, 아마도 이것이 관련이 있을 것입니다:
- 인터넷에 직접 연결되어 있고 당사 LAN과 독립되어 있어 침해되더라도 피해가 확산될 수 없으며,
ufw거부 우선순위 규칙 구조로 작동하며 다음만 허용합니다 .- LAN IP 주소에서 임의의 포트에 연결(관리 목적)
- 모든 IP 주소에서 포트 21/80(서비스용)에 연결
apache2다음과 같은 잠재적으로 "위험한" 웹 페이지에만 액세스를 허용하도록 구성합니다.파일 관리또는설치 프로그램.phpLAN IP 주소에서- 자동 업데이트
denyhosts등과 같은 기타 기능.
제가 걱정하는 점은 오늘 아침의 출력을 보고 nethogs이해하지 못하는 항목을 많이 발견했다는 것입니다(서버의 IP 주소를 제거하고 목록을 약간 줄였습니다).
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
그래서 제 질문과 분명한 관심사는 이러한 연결이 무엇인가 하는 것입니다. 루트가 소유하고 PID가 없는 이유는 무엇입니까? 왜 그렇게 많은가요?
다른답변다른 방향(예: 무작위 포트에서 PID가 없는 루트 소유의 외부 포트 80으로)의 유사한 항목이 연결을 나타내는 것이 좋습니다.도착하다외부 사이트이지만 그 반대인지는 잘 모르겠습니다. 저도 나열했기 때문에 apache2... 사용자 수준에서는 Linux를 사용해본 경험이 있는 것 같지만 시스템 관리는 조금 새로운 것 같습니다. 시스템이 chkrootkit설치 되었지만 rkhunter실행해도 결과가 나오지 않습니다. 나에게 무슨 문제가 있는지 분명히 알고 싶지만, 무슨 일이 일어나고 있는지도 알고 싶습니다...
부록
관심이 없으시네요. 내 결과는 다음과 같습니다.sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
답변1
이 트래픽은 모두 중국에 있는 컴퓨터로 연결되어 있거나 whois 출력과 관련이 있는 것으로 보이므로 이 네트워크(180.96.0.0/19)에서 들어오는 트래픽을 차단하는 것이 좋습니다. 물론 해당 네트워크에 연결하는 데 특별한 관심이 없다면 가능합니다. 그렇지 않으면 트래픽이 악의적이어서 원치 않는 것으로 가정합니다.
하나의 IP 주소에 대한 연결이지만 여러 포트에 대한 연결은 들어오는 트래픽에 대한 연결 설정이 포트 80에 나타나기 때문에 나가는 연결보다 들어오는 연결을 권장합니다.
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC