台灣最大程式設計社群網站
線上人數
1661
 
會員總數:245912
討論主題:189503
歡迎您免費加入會員
討論區列表 >> Linux / Unix >> 奇怪的IP連結
[]  
[我要回覆]
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
奇怪的IP連結
價值 : 100 QP  點閱數:3114 回應數:30
樓主

towns 版主
中級專家
5027 174
5576 901
發送站內信

捐贈 VP 給 towns
最近towns有一台linux server 會出現一些奇怪的連結(如圖centos55_iptstat.jpg),看來很像是本機由80 port發出訊息到某台主機,他的TTL也異常的長,有100多小時,但使用netstat -tun 卻看不到該IP連接情形,只有看到towns使用SSH連入的資訊(如圖centos55_netstat.jpg
towns這台主機系統說明
OS:CentOS 5.5
service:web、mysql、dns
請教大大們,
1. towns該如何確定這個IP由哪個程序執行?
2. 如何直接切斷該連結?

搜尋相關Tags的文章: [ 奇怪的IP連結 ] ,
本篇文章發表於2012-09-28 14:39
== 簽名檔 ==
來吧~~~電腦:http://blog.xuite.net/towns/hc
專修小問題:http://hc.chongyang-go.idv.tw
1樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
netstat -anp
或netstat -tunp

但應該也只是顯示別人連到你的80port時,回應的程式是啥而已...

netstat -an看不到這個連線嗎?
本篇文章回覆於2012-09-28 21:59
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
的確看不到(如圖centos55_iptstat2.jpg),很奇怪
本篇文章回覆於2012-09-28 22:46
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
netstat -a 才能看到別的 user的連線狀況吧?
你 login可能是 root/user
port 80 的連線user通常是 apache/webmaster

try:
netstat -anpt

web service 應該沒有提供 udp 連線服務吧?
本篇文章回覆於2012-09-29 13:30
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
apache restart看看?

據聞有些被入侵過的主機,用被修改過的程式,是看不到這個連線的...
本篇文章回覆於2012-09-29 21:09
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
謝謝前輩的幫忙,towns去試試
本篇文章回覆於2012-10-02 10:57
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
6樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
towns查了一下資料,的確有如蔥大說的工具軟體 Linux Rootkit(lrk)
http://technology.apol.com.tw/technology-55.html
不知道towns的server中,是否有被人植入這樣的工具呢!要好好的查一查了
本篇文章回覆於2012-10-02 11:58
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
7樓
另外新裝一台全新OS機器 把 default router砍掉 讓他連不上 internet
跟 Apache Server放在同一subnet內
裝 Sniffit 確認這台server 在start跟stop apache時候的連線狀況
本篇文章回覆於2012-10-14 01:25
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
8樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
謝謝,towns來試試
本篇文章回覆於2012-10-16 09:28
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
9樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
請教大大們
1. 在Linux中有沒有類似 TCPView或CurrPorts的工具,可以明確的說明哪個程序由那個程式開啟,並說明網路連結情形
2. 或是towns可以利用如ps、top、netstat指令,收集到每個程序的資料
因為iptables所提供的資訊太少了
本篇文章回覆於2012-10-24 13:57
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
10樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
Netactview?
http://netactview.sourceforge.net/

要XWindow............................................................
本篇文章回覆於2012-10-25 10:03
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
11樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
Xwin啊,看來將來Xwin也會出頭天了。不過,towns的這台server沒有Xwin = =
本篇文章回覆於2012-10-25 18:07
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
12樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
目前只確定,是某個程序開啟了本機80 port連結外部主機,而且,這個程式並不是apache,看來towns得一個一個kill後,才知道了 = =
本篇文章回覆於2012-10-26 11:03
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
13樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
towns實在是查不出來到底是哪裡有問題,所以,做了upgrade的動作,再來看看是否解決問題了呢!
如果解決了,就完全不知道是哪個套件的漏洞了 = =||
本篇文章回覆於2012-11-06 10:50
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
14樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
看來upgrade後,該問題仍然存在 = =
本篇文章回覆於2012-11-16 10:23
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
15樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
補充:
cat查看/proc/net/ip_conntrack,這個檔案,就可以看到本機連出去的資料,這個與iptstate所出現的資料是相同的
本篇文章回覆於2012-11-16 10:42
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   

回覆
如要回應,請先登入.