某些 ips 可以通过 DROP iptables 规则与服务器建立 tcp 连接
Posted
技术标签:
【中文标题】某些 ips 可以通过 DROP iptables 规则与服务器建立 tcp 连接【英文标题】:Some ips can establish tcp connections to a server with DROP iptables rules 【发布时间】:2017-02-02 19:04:32 【问题描述】:我受雇修复服务器的黑客问题,我发现 ip 37.187.253.240 和其他一些 ip 可以连接到特定端口,但不允许使用它们!。
服务器中安装了csf防火墙,csf.conf中该端口未对所有人开放。
列表 csf.allow 中只添加了一些 ip。
iptables -L
的当前 iptables 状态为:
INPUT 链(DROP 策略),仅对某些 ips 使用 ACCEPT。而这个ip 37.187.253.240 没有任何规则。
如果我通过 csf -x
停止 csf 并通过 iptables -F
刷新 iptables 规则,确保 csf 不是原因,然后只为该 ip 添加了一个 DROP 规则 iptables -A INPUT -p tcp -s 37.187.253.240 -j DROP
,我看到它可以连接也可以通过 netstat
tcp 0 0 server_ip:port 37.187.253.240:16132 ESTABLISHED
Ubuntu 14.04.3 LTS ,托管在 vmware.com 中。
这种情况的概率是多少?
【问题讨论】:
【参考方案1】:只是为了进行测试,禁用 CSF 防火墙并刷新 iptables 规则试试这个:
ip route add blackhole 37.187.253.240
这将丢弃从 37.187.253.240 接收或从您的服务器发送到 37.187.253.240 的所有数据包。
然后检查 netstat,看看您是否仍然看到任何与 IP 地址的连接。
由于服务器被黑客入侵,可能有一个进程在服务器上运行,该进程之前以某种方式与该 IP 地址建立了连接,并且该连接仍然处于活动状态。
您可以执行lsof -i | grep 16132
并准确查看哪个进程正在使用该端口。如果该服务器上的网站被黑客入侵,您可以重新启动 httpd/apache 服务以终止连接。
【讨论】:
以上是关于某些 ips 可以通过 DROP iptables 规则与服务器建立 tcp 连接的主要内容,如果未能解决你的问题,请参考以下文章