我被雇用来修复服务器的黑客攻击问题,我发现ip 37.187.253.240和其他一些ips可以连接到特定端口,但不允许这样做。
csf防火墙安装在服务器中,并且该端口未在csf.conf中为所有人打开。
在列表csf.allow中只添加了一些ips。
iptables -L的当前iptables状态为:
INPUT链(DROP策略),仅对某些ips使用ACCEPT。这个ip 37.187.253.240没有任何规则。
如果我按csf -x停止csf并按iptables -F刷新iptables规则,则确保csf不是原因,然后仅添加DROP规则iptables -A INPUT -p tcp -s 37.187.253.240 -j DROP那个ip,我看它也可以通过netstat连接
tcp 0 0 server_ip:port 37.187.253.240:16132 ESTABLISHED
Ubuntu 14.04.3 LTS ,托管在vmware.com。
这种情况的可能性是什么?
答案 0 :(得分:0)
只是为了进行测试,禁用CSF防火墙并使用iptables规则刷新试试这个:
ip route add blackhole 37.187.253.240
这将丢弃从37.187.253.240收到的或从您的服务器发送到37.187.253.240的所有数据包。
然后查看 netstat ,看看您是否仍然看到与ip地址的任何连接。
由于服务器被黑客入侵,因此服务器上可能存在一个进程,该进程先前以某种方式建立了与该IP地址的连接,并且该连接保持活动状态。
您可以执行lsof -i | grep 16132并确切查看正在使用该端口的进程。如果来自该服务器的网站遭到黑客攻击,您可以重新启动 httpd / apache 服务以终止连接。