最近、トラフィックがないと予想されても、OdroidのイーサネットLEDが点滅し続けていることがわかりました。これを実行しましたが、iptrafSSH無差別代入推測試行(次にブロックされます)以外のfail2banTCPトラフィックは表示されませんでした。ただし、ポート123で多くのUDPトラフィックが見つかりました。このトラフィックがどこから来るのかわかりません。
| eth0(46バイト)の188.130.254.14:443から192.168.1.68:123までのUDP
| eth0(46バイト)の188.130.254.14:443から192.168.1.68:123までのUDP
| eth0(46バイト)の121.40.223.68:20630から192.168.1.68:123までのUDP
| eth0の45.63.62.141:33296から192.168.1.68:123までのUDP(46バイト)
ポート123から着信UDPトラフィックを未知のIPアドレスに転送するようにルータを設定しましたが、まだ.netに多くのUDPパケットが表示されますiptraf。何を期待すべきかを知っている人はいますか?
ありがとうございます!
答え1
あなたは言う
ntpdを停止しました
もしそうなら、あなたが観察しているのはほぼ確実に違法な活動です。 UDP/123 はいIANA割り当てポート、他の合法的なアプリケーションでは使用できません。公式IANAポート割り当てページには、次の内容が記載されています。:
割り当てられたシステムポートとユーザーポートは、IANA登録なしまたは登録前に使用できません。
(システムポートは、0〜1023の範囲のポートと同じ文書で定義されています)。
ポートTCP/123ルート資格情報を取得した破損したシステムでは、システムポートがしばしば違法トラフィックを密封するために使用されることを示すよく知られているマルウェアで使用されます。 TCPの代わりにUDPを使用するにはいくつかの正当な理由があります。ラインシャークまったく役に立たず、システムポートを使用します(無実のポートを使用すると検出を回避するのは簡単です)。
以上ラインシャーク、あなたの友人は春夏シーズン:
ss -lnup | grep 123
ポートUDP / 123でリッスンするプロセスIDが提供されます。とは別にネットワーク伝送プロトコル、またはさらに悪いことは、あなたが損傷しているという兆候がないということです。しかし、私たちはそこに着くとその橋を渡ります。
編集する:
あなたのコメントに対するフォローアップ。ハッキングされたという証拠は次のとおりです。
UDP / 123で実行され、痕跡を残さない神秘的なサービス(ルートキットの存在を暗示)
ルータに不思議なポート転送が表示されます。
接続から消費者アカウント(確認してくださいWhatismyipaddress.comまたは誰ですか?注文する)。さて、まったくあなたが提供した3つのIPアドレスのうちの1つがリモートに接続されています。ネットワーク伝送プロトコル仕える人。
最も安全なオプションは、OSを再インストールしてからルーターの設定(パスワードを含む)を変更することです(パスワードログインを完全に無効にし、代わりに暗号化キーを使用することもできます)。ただ httpsつながる。重要なデータがあるため、オペレーティングシステムを再インストールしたくない場合は、USBスティックで実行されているLinuxディストリビューションを使用し(Ubuntuでは可能)、ここからコンピュータを起動できます(いいえハードドライブから)インストールクラマフ、ヘッドハンターそしてchkrootハードドライブで動作するように設定してください。これにより、マルウェアが存在するディスクがパッシブに使用されるため、一部のマルウェアはマルウェア対策プログラムの検出を回避できません。つまりそのプログラムが実行されていません。
また、パスワードで保護することを忘れないでください(失敗2禁止それでも現在の保護では十分ではないため、常に暗号化キーを使用する必要があります。また、デフォルトポートを変更してください。SSHリンクを使用すると、少なくともスクリプトキディには見えなくなります(もちろん決断力のある相手は決してそのような戦術にだまされません)。また、読みたいと思うかもしれませんこの投稿、答えが含まれているので、より多くのヒントを得ることができます。
頑張ってください。
答え2
UDP ポート 123 はデフォルトの NTP ポートです。そのため、NTP 構成を確認してください。それはおそらく標準的な同期でしょう。パケットをキャプチャして内容を確認するには、tcpdumpを使用する必要があります(wireshark)。
答え3
ポート123でUDPトラフィックが多いことがわかりましたが、そのトラフィックがどこから来るのかわかりません。
私が定義した大規模なことは、毎秒、つまり1分間ポート123でトラフィックを見ることを意味します。
あなたはこれを要求しなかったと言いました。たとえば、自分をパブリックNTPサーバーとしてリストしませんでした。 :).または、このNTPサーバーを使用するように他の5台のコンピュータを設定し、5台のコンピュータがすべて同時にオンになったときにトラフィックを監視します。
もしそうなら、それを説明するもう一つの可能性があります。誰かがあなたのコンピュータを使って他の人に洪水を引き起こそうとするかもしれません。 「NTP増幅攻撃」を探します。 Google のトップ検索結果には、ウェブサイトを洪水から保護するサービスを販売する Cloudflare などの会社の説明が含まれています。
https://www.cloudflare.com/learning/ddos/ntp-amplification-ddos-attack/
(これは何が起こっているのかを直接見ましたが、誤って設定されたコンシューマルータでuPNPトラフィック、UDPポート1900を使用しました。)
現時点では、攻撃者はまだユーザーを利用しようとしており、しばらくの間そうであると仮定しています。攻撃中に彼らを止めるならば、彼らはこのようなことが起こっているという信号を受け取らないでしょう。後で利用可能な増幅されたNTPサーバーを再スキャンすると、確認できます。
何らかの理由でルーター設定の変更が機能しないようです...
ルータが実行したポート転送が適用されるまでに時間がかかるようです。基本的に私がすることは、ポート123のすべてのUDPトラフィックを192.168.2.3に転送することです。私のLANでは、すべてのIPは192.168.1。*です。トラフィックが私のLinuxボックスに送信される理由がわかりません。ルータは、私が手動で定義したポート転送を除くすべてをブロックする必要があります。
ああ。このような条件を追加すると状況がよく理解できません。私があなたが言っていることを見始めない限り、あなたがこれを見ている理由を理解することはできません。
時々、人々はデフォルトで特定の規則を持たないすべてのポートを転送するOdroidのようなサーバー上に「DMZ」または「デフォルトポート転送」という別々の設定を構成します。最初は同様の設定があると思いました。私があなたなら、このような設定オプションを見つけるでしょう。このオプションをより早く設定して忘れてしまった可能性があります。
これまでは100%確信できません。また、着信UDPのみが表示され、発信UDPの量が同じかそれ以上であるかを再確認できます。ポート123にまだ予期しない発信UDPが「多い」場合、Odroidが引き継がれたことを示します。その後、セキュリティに特別な注意を払って最初から再インストールする必要があります(最新のソフトウェアと慎重なSSHアクセス)。
私はこれが最も可能性の高い説明だと思います。私は2番目のケースについてあまり慣れていません。特に、ARM準拠のマルウェアによるフラッディング攻撃(SSHやWebサーバーを介した攻撃など)は、通常のサーバーLinuxディストリビューションが破損しているという人気のある記事を見たことがありません。これはすべて可能ですが、それがどれくらい一般的なのかわかりません。
答え4
トラフィックキャプチャを使用して、tcpdumppcapファイルをコンピュータにコピーしてWiresharkでスキャンできます。名前にだまされないでください。 tcpdump は UDP パケットもキャプチャします。