私はUbuntu 12.04LTSを実行している外部FTP / Webサーバー(仮想ホスティングを含む)を持っていますが、現在見ているいくつかのネットワークトラフィックが少し心配です。
いくつかの背景。私はコンピュータを設定するときにできるだけ多くの予防措置を取ろうとしますが、おそらくこれは関連しているでしょう:
- インターネットに直接接続されており、当社LANと独立しており、侵害されても被害が拡散することはできず、
ufw
拒否優先順位ルール構造として機能し、次のようにのみ許可します。- LAN IPアドレスから任意のポートに接続する(管理目的)
- すべてのIPアドレスからポート21/80(サービス用)に接続する
apache2
次の潜在的に「危険な」Webページにのみアクセスを許可するように設定します。ファイル管理またはインストーラ.phpLAN IP アドレスから- 自動更新
denyhosts
などのその他の機能。
私が心配するのは、今朝の出力を見てnethogs
理解できないものがたくさん見つかったことです(サーバーのIPアドレスを削除してリストを少し減らしました)。
PID USER PROGRAM DEV SENT RECEIVED
? root server.address:80-180.126.248.132:56745 11.879 0.454 KB/sec
? root server.address:80-180.126.248.132:56752 9.568 0.354 KB/sec
8300 jon sshd: jon@pts/0 bond0 5.597 0.323 KB/sec
? root server.address:80-180.126.248.132:56663 6.690 0.185 KB/sec
? root server.address:80-180.126.248.132:56739 5.242 0.170 KB/sec
? root server.address:80-180.126.248.132:56608 4.658 0.170 KB/sec
? root server.address:80-180.126.248.132:56723 5.242 0.162 KB/sec
? root server.address:80-180.126.248.132:56515 4.658 0.150 KB/sec
[...]
3614 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3134 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3307 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3009 www-data /usr/sbin/apache2 bond0 0.292 0.000 KB/sec
3768 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3132 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
3384 www-data /usr/sbin/apache2 bond0 0.000 0.000 KB/sec
だから私の質問と明らかな関心事は、これらの接続が何であるかということです。ルートが所有し、PIDがない理由は何ですか?なぜそんなにたくさんあるのですか?
その他回答他の方向(たとえば、ランダムポートからPIDなしのルート所有の外部ポート80へ)の同様のエントリが接続を示すことをお勧めします。到着外部サイトですが、その逆かどうかはよくわかりません。私もリストしたのでapache2
…ユーザーレベルではLinuxを使った経験があるようですが、システム管理は少し新しいようです。システムはchkrootkit
インストールされていますrkhunter
が、実行しても結果は表示されません。私に何の問題があるのかはっきり知りたいのですが、何が起こっているのか知りたいのですが。
付録
興味がないですね。私の結果は次のとおりです。sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
Anywhere ALLOW IN lan.address
80 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
80 ALLOW IN Anywhere (v6)
21/tcp ALLOW IN Anywhere (v6)
答え1
これらのトラフィックはすべて中国のコンピュータに接続されているか、whois出力に関連しているように見えるため、このネットワーク(180.96.0.0/19)からの着信トラフィックをブロックすることをお勧めします。もちろん、そのネットワークに接続することに特別な関心がなければ可能です。それ以外の場合は、トラフィックが悪意のあるため不要であると仮定します。
1つのIPアドレスへの接続ですが、複数のポートへの接続は、着信トラフィックの接続設定がポート80に表示されるため、発信接続よりも着信接続を推奨します。
% Information related to '180.96.0.0 - 180.127.255.255'
inetnum: 180.96.0.0 - 180.127.255.255
netname: CHINANET-JS
descr: Chinanet Jiangsu Province Network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
remarks: service provider
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: [email protected] 20090723
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
source: APNIC
role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: [email protected]
remarks: send anti-spam reports to [email protected]
remarks: send abuse reports to [email protected]
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: [email protected]
mnt-by: MAINT-CHINANET-JS
changed: [email protected] 20090831
changed: [email protected] 20090831
changed: [email protected] 20090901
source: APNIC
changed: [email protected] 20111114
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: [email protected]
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: [email protected] 20070416
changed: [email protected] 20140227
mnt-by: MAINT-CHINANET
source: APNIC