Estou tendo problemas com meu servidor e uso iftop para mostrar conexões de e para o servidor em tempo real.
Ele mostra um endereço IP que está constantemente conectado de / para mim, mas não consigo encontrar nenhuma informação sobre o que é usado.
Como posso descobrir o que exatamente esse ip está fazendo com meu servidor?
EDIT: com ajuda das respostas, pude ver com iftop o seguinte
my.ip.address:46414 => 199.16.156.20:https
Depois, com netstat -a, vejo o seguinte
tcp 0 0 my.ip.address:46414 199.16.156.20:https ESTABLISHED
Eu tenho um servidor web apache, mas esse IP não está aparecendo nos logs. E, além disso, por que está se conectando à porta 46414? O que ele está fazendo!
Obrigado
EDIT2: Ok, graças à resposta de Daniel t. Estou chegando mais perto Eu tentei com lsof -i: 46475 e esta é a saída
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
apache2 22003 www-data 19u IPv4 716074 0t0 TCP ns.arg2.wirall.com:46475
Parece que o apache está fazendo alguma coisa ... mas como é uma conexão de saída, como posso saber o que ela realmente está fazendo?
46414 é uma porta gerada aleatoriamente criada pelo seu sistema operacional. Isso é feito para portas de saída para manter a sessão.
É a porta de conexão que você precisa examinar, e isso seria 443, conforme indicado por https. Isso significa que seu IP está se conectando via https a um servidor remoto, e não o contrário.
Com as seguintes opções, você pode depurar mais (informações da porta):
iftop -i eth0 -P
Algumas das portas (como 80 dest) serão traduzidas para o nome do serviço (www) ou 25 para smtp. Os outros, você terá que descobrir a atribuição da porta IANA:
Você também pode usar o tcpdump, mas se houver tráfego intenso, ele mostrará muitas informações na sua tela.
Parece que sua máquina está fazendo uma conexão de saída com um servidor remoto na porta 443. Use seu sniffer de rede favorito (ngrep, tcpdump, etc.) e observe as conexões com o ip remoto e a porta 443.
Faça lsof -i:46414 e você verá qual processo / comando, PID, Usuário ... etc iniciou a conexão com o servidor remoto. A propósito, esse IP de servidor remoto é de propriedade do Twitter - link .
Considerando todas as respostas, parece-me que existe um script ou uma página da Web em seu servidor da Web que está fazendo essa conexão. Eu baseio isso no fato de que é o usuário do servidor web que possui a conexão e que é para um servidor de saída.
Eu certamente ficaria preocupado com isso, especialmente considerando que o nome do servidor remoto é ns.... . Isso soa como se houvesse algum script mal-intencionado em seu site que está se conectando a outro servidor que foi comprometido. Claro, é igualmente possível que alguém esteja usando, e. mod_proxy para buscar imagens ou javascripts do servidor remoto, mas não é exatamente comum fazer isso por HTTPS.
Então, meu conselho é percorrer as páginas da Web e os scripts usados em seu site e tentar encontrar um que contenha uma solicitação para esse servidor. Se você tem uma idéia de quando começou, você pode usar find /path/to/webserver/contents -mtime -15 se você acha que começou há 15 dias, para listar todos os arquivos que foram alterados nos últimos 15 dias.
Você também pode querer eliminar o tráfego para 199.16.156.20 no seu firewall, mas eu ainda deveria estar atento para ver se o seu servidor começa a fazer conexões com algum outro site remoto.
Falando de firewalls - em geral, eu diria que um servidor web não deve ter permissão para iniciar conexões com o mundo externo, exceto serviços necessários como DNS, e-mail (possivelmente apenas para seu servidor de retransmissão principal) e conexões aos serviços de atualização relevantes para o seu sistema operacional. As conexões de entrada só devem ser permitidas para SSH da sua própria rede e para as portas do servidor da web.Tags networking apache-2.2 ubuntu