Некоторые ips могут устанавливать tcp-соединения с сервером с правилами DROP iptables.

Меня наняли для решения проблемы со взломом сервера, я обнаружил, что ip 37.187.253.240 и некоторые другие ips могут подключаться к определенному порту, в то время как они не разрешены!.

csf firewall установлен на сервере, и этот порт открыт не для всех в csf.conf.

в список csf.allow добавляются только некоторые ips.

текущий статус iptables от iptables -L: цепочка INPUT (политика DROP), с ACCEPT только для некоторых ips. и этот ip 37.187.253.240 не имеет никакого правила.

чтобы убедиться, что csf не является причиной, если я останавливаю csf с помощью csf -x и очищаю правила iptables с помощью iptables -F, затем добавляю только правило DROP iptables -A INPUT -p tcp -s 37.187.253.240 -j DROP для этого ip, я вижу, что он может подключаться также через netstat

tcp        0     0 server_ip:port    37.187.253.240:16132    ESTABLISHED

Ubuntu 14.04.3 LTS, размещенная на vmware.com.

каковы вероятности этого случая?


firewall tcp iptables
person Abo Amin    schedule 02.02.2017    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Просто для проверки с отключенным брандмауэром CSF и сбросом правил iptables попробуйте следующее:

ip route add blackhole 37.187.253.240

Это приведет к отбрасыванию всех пакетов, полученных от 37.187.253.240 или отправленных с вашего сервера на 37.187.253.240.

Затем проверьте с помощью netstat и посмотрите, видите ли вы все еще какое-либо соединение с IP-адресом или с него.

Поскольку сервер был взломан, возможно, на сервере запущен процесс, который ранее каким-то образом устанавливал соединение с этим IP-адресом, и это соединение оставалось активным.

Вы можете сделать lsof -i | grep 16132 и посмотреть, какой именно процесс использует этот порт. Если веб-сайт с этого сервера был взломан, вы можете перезапустить службу httpd/apache, чтобы разорвать соединение.

person Bogdan Stoica    schedule 06.02.2017