Некоторые ips могут устанавливать подключения tcp к серверу с правилами DIPP iptables

Question

Я был нанят для исправления проблемы взлома для сервера, я обнаружил, что ip 37.187.253.240 и некоторые другие ips могут подключаться к определенному порту, в то время как они не разрешены !.

csf firewall установлен на сервере, и этот порт не открыт для всех в csf.conf.

только некоторые ips добавлены в список csf.allow.

Текущий статус iptables по iptables -L: INPUT Chain (политика DROP), с ACCEPT только для некоторых ips. и этот ip 37.187.253.240 не имеет никакого правила.

, чтобы убедиться, что КСФ не является причиной, если я перестану СМЖ csf -x и промывать правила Iptables по iptables -F, затем добавляют только правило DROP iptables -A INPUT -p tcp -s 37.187.253.240 -j DROP для этого IP, я вижу, что можно также подключить через NETSTAT

tcp  0  0 server_ip:port 37.187.253.240:16132 ESTABLISHED 

Ubuntu 14.04.3 LTS , размещенный на vmware.com.

Каковы вероятности этого случая?

Answer 1

Просто, чтобы сделать тест, с отключенным ваш КСФ брандмауэр и правила Iptables продувают попробовать это:

ip route add blackhole 37.187.253.240 

Это будет отбрасывать все пакеты, полученные от 37.187.253.240 или отправленные с сервера на 37.187.253.240 ,

Затем проверьте с помощью netstat и проверьте, не по-прежнему ли вы видите какое-либо соединение с ip-адресом или с него.

Поскольку сервер был взломан, возможно, на сервере существует процесс, который ранее установил соединение с этим IP-адресом, и это соединение оставалось активным.

Вы можете сделать lsof -i | grep 16132 и посмотреть, какой процесс использует этот порт. Если сайт с этого сервера был взломан, вы можете перезапустить службу httpd/apache, чтобы просто убить соединение.