認識できないネットワーク接続

認識できないネットワーク接続

私はUbuntu 12.04LTSを実行している外部FTP / Webサーバー(仮想ホスティングを含む)を持っていますが、現在見ているいくつかのネットワークトラフィックが少し心配です。

いくつかの背景。私はコンピュータを設定するときにできるだけ多くの予防措置を取ろうとしますが、おそらくこれは関連しているでしょう:

  1. インターネットに直接接続されており、当社LANと独立しており、侵害されても被害が拡散することはできず、
  2. ufw拒否優先順位ルール構造として機能し、次のようにのみ許可します。
    1. LAN IPアドレスから任意のポートに接続する(管理目的)
    2. すべてのIPアドレスからポート21/80(サービス用)に接続する
  3. apache2次の潜在的に「危険な」Webページにのみアクセスを許可するように設定します。ファイル管理またはインストーラ.phpLAN IP アドレスから
  4. 自動更新denyhostsなどのその他の機能。

私が心配するのは、今朝の出力を見てnethogs理解できないものがたくさん見つかったことです(サーバーのIPアドレスを削除してリストを少し減らしました)。

PID   USER     PROGRAM                                             DEV        SENT      RECEIVED
?     root     server.address:80-180.126.248.132:56745                      11.879       0.454 KB/sec
?     root     server.address:80-180.126.248.132:56752                       9.568       0.354 KB/sec
8300  jon      sshd: jon@pts/0                                    bond0      5.597       0.323 KB/sec
?     root     server.address:80-180.126.248.132:56663                       6.690       0.185 KB/sec
?     root     server.address:80-180.126.248.132:56739                       5.242       0.170 KB/sec
?     root     server.address:80-180.126.248.132:56608                       4.658       0.170 KB/sec
?     root     server.address:80-180.126.248.132:56723                       5.242       0.162 KB/sec
?     root     server.address:80-180.126.248.132:56515                       4.658       0.150 KB/sec
[...]
3614  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3134  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3307  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3009  www-data /usr/sbin/apache2                                  bond0      0.292       0.000 KB/sec
3768  www-data /usr/sbin/apache2                                  bond0      0.000       0.000 KB/sec
3132  www-data /usr/sbin/apache2                                  bond0      0.000       0.000 KB/sec
3384  www-data /usr/sbin/apache2                                  bond0      0.000       0.000 KB/sec

だから私の質問と明らかな関心事は、これらの接続が何であるかということです。ルートが所有し、PIDがない理由は何ですか?なぜそんなにたくさんあるのですか?

その他回答他の方向(たとえば、ランダムポートからPIDなしのルート所有の外部ポート80へ)の同様のエントリが接続を示すことをお勧めします。到着外部サイトですが、その逆かどうかはよくわかりません。私もリストしたのでapache2…ユーザーレベルではLinuxを使った経験があるようですが、システム管理は少し新しいようです。システムはchkrootkitインストールされていますrkhunterが、実行しても結果は表示されません。私に何の問題があるのか​​はっきり知りたいのですが、何が起こっているのか知りたいのですが。

付録

興味がないですね。私の結果は次のとおりです。sudo ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
Anywhere                   ALLOW IN    lan.address
80                         ALLOW IN    Anywhere
21/tcp                     ALLOW IN    Anywhere
80                         ALLOW IN    Anywhere (v6)
21/tcp                     ALLOW IN    Anywhere (v6)

答え1

これらのトラフィックはすべて中国のコンピュータに接続されているか、whois出力に関連しているように見えるため、このネットワーク(180.96.0.0/19)からの着信トラフィックをブロックすることをお勧めします。もちろん、そのネットワークに接続することに特別な関心がなければ可能です。それ以外の場合は、トラフィックが悪意のあるため不要であると仮定します。

1つのIPアドレスへの接続ですが、複数のポートへの接続は、着信トラフィックの接続設定がポート80に表示されるため、発信接続よりも着信接続を推奨します。

% Information related to '180.96.0.0 - 180.127.255.255'
inetnum:        180.96.0.0 - 180.127.255.255
netname:        CHINANET-JS
descr:          Chinanet Jiangsu Province Network
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
 country:        CN
admin-c:        CH93-AP
tech-c:         CJ186-AP
remarks:        service provider
status:         ALLOCATED PORTABLE
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        [email protected] 20090723
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-JS
source:         APNIC

role:           CHINANET JIANGSU
address:        260 Zhongyang Road,Nanjing 210037
country:        CN
phone:          +86-25-86588231
phone:          +86-25-86588745
fax-no:         +86-25-86588104
e-mail:         [email protected]
remarks:        send anti-spam reports to [email protected]
remarks:        send abuse reports to [email protected]
remarks:        times in GMT+8
admin-c:        CH360-AP
tech-c:         CS306-AP
tech-c:         CN142-AP
nic-hdl:        CJ186-AP
remarks:        www.jsinfo.net
notify:         [email protected]
mnt-by:         MAINT-CHINANET-JS
changed:        [email protected] 20090831
changed:        [email protected] 20090831
changed:        [email protected] 20090901
source:         APNIC
changed:        [email protected] 20111114

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         [email protected]
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
changed:        [email protected] 20070416
changed:        [email protected] 20140227
mnt-by:         MAINT-CHINANET
source:         APNIC

関連情報