Conexões de rede não identificadas

Navegue suas respostas
1

Eu tenho um ftp / webserver externo (com hosts virtuais) executando o Ubuntu 12.04LTS, e tenho algumas preocupações sobre algum tráfego de rede que estou vendo.

Alguns antecedentes. Tentei ser o mais preventivo possível na configuração do computador, talvez relevante:

  1. Ele está diretamente conectado à internet e é independente da nossa LAN, de modo que, se algum dia ele estiver comprometido, o dano não pode se espalhar,
  2. Executa ufw com uma estrutura de regra de negação que permite apenas:
    1. Conexões com qualquer porta do endereço IP da LAN (para propósitos de administrador)
    2. Conexões às portas 21/80 de qualquer endereço IP (para os serviços)
  3. apache2 está configurado para permitir apenas o acesso a páginas da Web potencialmente 'perigosas', como admin.php ou setup.php a partir do endereço IP da LAN, e
  4. Outras coisas, como atualização automática, denyhosts , etc.

Minha preocupação é que eu estava olhando para a saída de nethogs esta manhã e encontrei muitas entradas que não entendi (removi o endereço IP do meu servidor e cortei a lista um pouco): 

PID   USER     PROGRAM                                             DEV        SENT      RECEIVED
?     root     server.address:80-180.126.248.132:56745                      11.879       0.454 KB/sec
?     root     server.address:80-180.126.248.132:56752                       9.568       0.354 KB/sec
8300  jon      sshd: jon@pts/0                                    bond0      5.597       0.323 KB/sec
?     root     server.address:80-180.126.248.132:56663                       6.690       0.185 KB/sec
?     root     server.address:80-180.126.248.132:56739                       5.242       0.170 KB/sec
?     root     server.address:80-180.126.248.132:56608                       4.658       0.170 KB/sec
?     root     server.address:80-180.126.248.132:56723                       5.242       0.162 KB/sec
?     root     server.address:80-180.126.248.132:56515                       4.658       0.150 KB/sec
[...]
3614  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3134  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3307  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3009  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3768  www-data /usr/sbin/apache2                                  bond0      0.000       0.000 KB/sec
3132  www-data /usr/sbin/apache2                                  bond0      0.000       0.000 KB/sec
3384  www-data /usr/sbin/apache2                                  bond0      0.000       0.000 KB/sec

Então minha pergunta, e preocupação óbvia, é quais são essas conexões? Por que eles são de propriedade de raiz e sem um PID? Por que existem tantos?

Outro answer sugeriu que entradas semelhantes na outra direção (isto é, de uma porta aleatória para uma porta externa 80 de propriedade do root sem PID) significam conexões para sites externos, mas não sei se o inverso é o caso, pois também tenho listagens para apache2 ... Eu gostaria de pensar que sou bastante experiente com o Linux em nível de usuário, mas a administração do sistema é um pouco nova para mim. O sistema tem chkrootkit e rkhunter instalado, mas executá-los não transformou nada. Eu obviamente gostaria de saber se tenho um problema, mas também gostaria de entender o que está acontecendo ...

Apêndice

Por interesse, o seguinte é o resultado do meu sudo ufw status verbose 

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
Anywhere                   ALLOW IN    lan.address
80                         ALLOW IN    Anywhere
21/tcp                     ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere (v6)
21/tcp                     ALLOW IN    Anywhere (v6)
    
por Jon 28.03.2014 / 15:15

1 resposta

2

Como todo esse tráfego está conectado a um computador na China (ou assim parece, relacionado à saída whois), eu recomendaria a proibição do tráfego dessa rede (180.96.0.0/19). Contanto que você não tenha nenhum interesse específico em conexão com essa rede, é claro. Caso contrário, consideraria esse tráfego malicioso e, portanto, indesejado.

Conexões para um endereço IP, mas várias portas sugerem conexões de entrada em vez de conexões de saída, pois o estabelecimento da conexão para tráfego de entrada é exibido na porta 80. 

% Information related to '180.96.0.0 - 180.127.255.255'
inetnum:        180.96.0.0 - 180.127.255.255
netname:        CHINANET-JS
descr:          Chinanet Jiangsu Province Network
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
 country:        CN
admin-c:        CH93-AP
tech-c:         CJ186-AP
remarks:        service provider
status:         ALLOCATED PORTABLE
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        [email protected] 20090723
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-JS
source:         APNIC

role:           CHINANET JIANGSU
address:        260 Zhongyang Road,Nanjing 210037
country:        CN
phone:          +86-25-86588231
phone:          +86-25-86588745
fax-no:         +86-25-86588104
e-mail:         [email protected]
remarks:        send anti-spam reports to [email protected]
remarks:        send abuse reports to [email protected]
remarks:        times in GMT+8
admin-c:        CH360-AP
tech-c:         CS306-AP
tech-c:         CN142-AP
nic-hdl:        CJ186-AP
remarks:        www.jsinfo.net
notify:         [email protected]
mnt-by:         MAINT-CHINANET-JS
changed:        [email protected] 20090831
changed:        [email protected] 20090831
changed:        [email protected] 20090901
source:         APNIC
changed:        [email protected] 20111114

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         [email protected]
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
changed:        [email protected] 20070416
changed:        [email protected] 20140227
mnt-by:         MAINT-CHINANET
source:         APNIC
    
por 28.03.2014 / 16:11

Tags

Configurando o servidor FTP no redhat Como configurar o bootloader para inicializar o novo kernel?