某些 ips 可以通过 DROP iptables 规则与服务器建立 tcp 连接

Posted

技术标签:

【中文标题】某些 ips 可以通过 DROP iptables 规则与服务器建立 tcp 连接【英文标题】:Some ips can establish tcp connections to a server with DROP iptables rules 【发布时间】:2017-02-02 19:04:32 【问题描述】:

我受雇修复服务器的黑客问题,我发现 ip 37.187.253.240 和其他一些 ip 可以连接到特定端口,但不允许使用它们!。

服务器中安装了csf防火墙,csf.conf中该端口未对所有人开放。

列表 csf.allow 中只添加了一些 ip。

iptables -L 的当前 iptables 状态为: INPUT 链(DROP 策略),仅对某些 ips 使用 ACCEPT。而这个ip 37.187.253.240 没有任何规则。

如果我通过 csf -x 停止 csf 并通过 iptables -F 刷新 iptables 规则,确保 csf 不是原因,然后只为该 ip 添加了一个 DROP 规则 iptables -A INPUT -p tcp -s 37.187.253.240 -j DROP ,我看到它可以连接也可以通过 netstat

tcp        0     0 server_ip:port    37.187.253.240:16132    ESTABLISHED

Ubuntu 14.04.3 LTS ,托管在 vmware.com 中。

这种情况的概率是多少?

【问题讨论】:

【参考方案1】:

只是为了进行测试,禁用 CSF 防火墙并刷新 iptables 规则试试这个:

ip route add blackhole 37.187.253.240

这将丢弃从 37.187.253.240 接收或从您的服务器发送到 37.187.253.240 的所有数据包。

然后检查 netstat,看看您是否仍然看到任何与 IP 地址的连接。

由于服务器被黑客入侵,可能有一个进程在服务器上运行,该进程之前以某种方式与该 IP 地址建立了连接,并且该连接仍然处于活动状态。

您可以执行lsof -i | grep 16132 并准确查看哪个进程正在使用该端口。如果该服务器上的网站被黑客入侵,您可以重新启动 httpd/apache 服务以终止连接。

【讨论】:

以上是关于某些 ips 可以通过 DROP iptables 规则与服务器建立 tcp 连接的主要内容,如果未能解决你的问题,请参考以下文章

iptables中规则的关系——以只允许某些IP段访问为例

Linux防火墙:iptables禁IP与解封IP常用命令

iptables限制同一IP连接数,防防CC/DDOS攻击

iptables开放指定端口

Iptables常用规则:屏蔽IP地址禁用ping协议设置NAT与转发负载平衡自定义链

请问一下centos 6.5如何添加ip黑名单?