我想知道是否有人可以帮我解决这个问题。
我们只有通过https://端口443才能使用的web服务。
使用netstat我看到有特定的ip试图连接到服务器。
例如,所有其他连接从服务器的端口连接到服务器的443端口(正常的https行为)。
这个特定的ip:192.0.73.2尝试打开从远程端口443到本地端口的连接。 (它的状态总是TIME_WAIT,它会消失,然后会在TIME_WAIT后一分钟左右回来。
我在公开报告这个IP,因为它已经在这里报告: https : //www.abuseipdb.com/check/192.0.73.2
有一个CISCO防火墙保护公司networking,我的系统pipe理员告诉我,他找不到从该IP到服务器的任何命中。 但是netstat工具会报告。
你能给我提供什么build议吗? 或者告诉我发生了什么事? 谢谢!
这就是netstat命令显示的内容:
Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 server_ip:32884 192.0.73.2:443 TIME_WAIT tcp6 0 69000 server_ip:443 remote_ip:65045 ESTABLISHED tcp6 0 0 server_ip:443 remote_ip:20467 TIME_WAIT tcp6 0 0 server_ip:443 remote_ip:55430 TIME_WAIT tcp6 0 0 server_ip:443 remote_ip:65248 ESTABLISHED 谢谢大家帮我解决这个问题。 毕竟这是一个呼吁gravatar
正常打到192.0.73.2将redirect到https://en.gravatar.com/ 。 这绝对不是MITM的攻击。
您的网站正在使用一个gravatar模块,它正在尝试连接到它的服务器来收集数据,即用户头像用于评论。 您不必担心,因为在TIMED_WAIT之后它不能连接到服务器。
你不应该担心,因为从防火墙没有检测到IP。 这将是最好的修复模块试图访问gravatar,并允许访问它。
也许没有人试图从443连接到当地的上游港口。 连接通常来自dynamic端口范围(49152到65535)。 32884总是32884还是实际上总是在这个范围内?
IP地址192.0.73.2主机wordpress.com和gravatar.com等。更有可能是你的服务器连接到该服务器收集一些信息。 我们不知道细节,因为我们不知道您的网站,它的目的是什么。
这是一个出站连接,你的服务器连接到一个远程地址,而不是相反。 这通常意味着:你有一些后台服务在某处发送数据。 为了弄清楚什么是进程,使用netstat(具有root权限):
netstat -tulpn
如果你没有看到它在输出中,尝试(也作为根):
lsof -i tcp
这将显示与相关进程名称的所有连接。 find你的传出连接,看看这个过程。
举例来说,我的服务器定期维护一个到外部https端口的出站连接,因为我的Nginx Amplify正在运行,需要向服务器报告统计信息。
你可以在我的服务器的当前输出(redacted)中看到这个例子:
joe@testbed~$ sudo lsof -i tcp COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME amplify-a 6355 user-nam 14u IPv4 7657189 0t0 TCP testbed.avx.local:36970->ec2.us-west-1.compute.amazonaws.com:https (ESTABLISHED)
我的服务器正在build立一个从随机端口到https端口的出站连接,就像你的一样。 运行命令,find进程,然后你可以决定它是否是恶意的。