Toneladas de conexões desconhecidas em nethogs

4

Estou vendo centenas de conexões diferentes para o mesmo ip e porta de rolagem ao executar nethogs. Ocasionalmente, o IP e a porta estrangeira mudam (nem sempre 80, mas às vezes). Tenho notado que o uso da CPU do meu roteador pula para 100% quando essas grandes explosões de conexões acontecem, então estou bastante certo de que esse pico massivo continua sobrecarregando o roteador e essencialmente tornando minha rede inútil por até 60 segundos completos. / p>

Coisas que eu tentei:

  • sudo netstat -tulpn | grep $whateverip : nada
  • sudo netstat --inet -ap | grep $whateverip : nada
  • sudo lsof -i | grep $whateverport : no momento em que isso termina, a porta e o IP mudaram novamente

Isso pode ser apenas paranoia, mas eu juro que parece que toda vez que eu tento cavar mais informações sobre a conexão, a porta e o IP mudam, então meu comando não me dá nada.

Estou lidando com algo maligno vivendo dentro do meu servidor? Ou há alguma explicação mais benigna que estou perdendo em meu limitado conhecimento em rede?

Note também que este é um servidor Ubuntu sem interface, por isso não sou eu a perseguir alguém apenas a navegar no reddit.

    
por pettazz 04.10.2014 / 18:05

1 resposta

0

Eu tenho o mesmo problema. Solucionou temporariamente isso filtrando o tráfego de saída para o ip em questão, digitando o seguinte comando:

sudo iptables -A OUTPUT -d <ip-adress>/24 -j DROP
sudo iptables-save

O "/ 24" significa que ele só se importa com os três primeiros números no endereço IP. O problema é que ele continua voltando com novos endereços IP. Eu adicionei 12 linhas para o iptables agora, e tem sido algumas horas desde uma inundação, mas espero que isso aconteça novamente amanhã de manhã. Parece se intensificar na noite / manhã cedo (CET) para mim. A maioria, mas nem todos eles estão localizados na China. Acho que este artigo pode ser relevante, mas não tenho certeza:

link

Por favor, deixe-me saber se você descobrir isso. O próximo passo para mim é tentar mudar a senha na minha conta root e ver se isso ajuda.

    
por 10.12.2014 / 15:43