Eu tenho o que eu acredito ser um sistema limpo do CentOS 7 e queria ver o tráfego da rede, então eu instalei o NetHogs. Fiquei surpreso ao ver conexões aleatórias surgindo, principalmente na rede do Asian Pacific RIPE. No entanto, também estou vendo conexões para aqui nos estados e na América central.
NetHogs version 0.8.2-SNAPSHOT
PID USER PROGRAM DEV SENT RECEIVED
1421 tnsun sshd: tnsun@pts/0 enp0s3 0.568 0.064 KB/sec
? root xxx.xxx.xxx.xxx:1433-156.3.174.102:56800 0.000 0.000 KB/sec
? root xxx.xxx.xxx.xxx:3306-123.249.45.210:46686 0.000 0.000 KB/sec
? root xxx.xxx.xxx.xxx:111-66.240.236.119:11748 0.000 0.000 KB/sec
? root xxx.xxx.xxx.xxx:23-191.109.233.156:56641 0.000 0.000 KB/sec
? root unknown TCP 0.000 0.000 KB/sec
TOTAL 0.568 0.064 KB/sec
Eu percebi que tinha sido hackeado e, como esse servidor ainda não entrou no ar, decidi que o mais fácil seria criar outra VM.
Começando do zero, instalei o mínimo do CentOS 7 e comecei a trabalhar em rede. Eu imediatamente desabilitei os logins do ssh root que você atualizou e instalou o iptables bloqueando quase tudo.
Eu então instalei o vim e, por curiosidade, instalei o NetHogs novamente. Isso exigiu o EPEL Repo, mas eu preciso disso para outras coisas, então eu o habilitei.
Executar o NetHogs mostra que, mesmo em uma VM com menos de 30 minutos em um novo endereço IP que não tenha sido usado, o sistema ainda está fazendo conexões com hosts desconhecidos.
Alguma coisa que eu instalei foi comprometida? Tudo o que instalei veio das reposições padrão, exceto para o NetHogs, que veio do repositório EPEL.
Eu percebi isso.
Estes são apenas sistemas de sondagem para portas abertas. Eu não sou hackeado. :)