某些 ips 可以通过 DROP iptables 规则与服务器建立 tcp 连接

Posted 2023-04-13

【中文标题】某些 ips 可以通过 DROP iptables 规则与服务器建立 tcp 连接

【英文标题】：Some ips can establish tcp connections to a server with DROP iptables rules

【发布时间】：2017-02-02 19:04:32

【问题描述】：

我受雇修复服务器的黑客问题，我发现 ip 37.187.253.240 和其他一些 ip 可以连接到特定端口，但不允许使用它们！。

服务器中安装了csf防火墙，csf.conf中该端口未对所有人开放。

列表 csf.allow 中只添加了一些 ip。

iptables -L 的当前 iptables 状态为： INPUT 链（DROP 策略），仅对某些 ips 使用 ACCEPT。而这个ip 37.187.253.240 没有任何规则。

如果我通过 csf -x 停止 csf 并通过 iptables -F 刷新 iptables 规则，确保 csf 不是原因，然后只为该 ip 添加了一个 DROP 规则 iptables -A INPUT -p tcp -s 37.187.253.240 -j DROP ，我看到它可以连接也可以通过 netstat

tcp        0     0 server_ip:port    37.187.253.240:16132    ESTABLISHED

Ubuntu 14.04.3 LTS ，托管在 vmware.com 中。

这种情况的概率是多少？

【参考方案1】：

只是为了进行测试，禁用 CSF 防火墙并刷新 iptables 规则试试这个：

ip route add blackhole 37.187.253.240

这将丢弃从 37.187.253.240 接收或从您的服务器发送到 37.187.253.240 的所有数据包。

然后检查 netstat，看看您是否仍然看到任何与 IP 地址的连接。

由于服务器被黑客入侵，可能有一个进程在服务器上运行，该进程之前以某种方式与该 IP 地址建立了连接，并且该连接仍然处于活动状态。

您可以执行lsof -i | grep 16132 并准确查看哪个进程正在使用该端口。如果该服务器上的网站被黑客入侵，您可以重新启动 httpd/apache 服务以终止连接。