Gostaria de saber se alguém poderia me ajudar com esse problema.
Temos um webservice que está disponível apenas através de https://porta 443.
Usando o netstat vejo que existe um ip específico que tenta se conectar ao servidor.
Por exemplo, todas as outras conexões se conectam ao servidor de sua porta para a porta 443 do servidor (comportamento https normal).
Este ip específico: 192.0.73.2, tenta abrir a conexão da porta remota 443 para uma porta local. (Seu estado é sempre TIME_WAIT, ele desaparece e depois volta como TIME_WAIT após um minuto ou mais.
Estou reportando esse ip a céu aberto pois já foi reportado aqui antes: https://www.abuseipdb.com/check/192.0.73.2
Existe um firewall CISCO que protege a rede da empresa e meu administrador do sistema me disse que não conseguiu encontrar nenhum acesso desse ip para o servidor. Mas a ferramenta netstat informa o contrário.
Você pode me oferecer alguma sugestão? Ou me diga o que está acontecendo? Obrigada!
Isso é o que o comando netstat mostra:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 server_ip:32884 192.0.73.2:443 TIME_WAIT
tcp6 0 69000 server_ip:443 remote_ip:65045 ESTABLISHED
tcp6 0 0 server_ip:443 remote_ip:20467 TIME_WAIT
tcp6 0 0 server_ip:443 remote_ip:55430 TIME_WAIT
tcp6 0 0 server_ip:443 remote_ip:65248 ESTABLISHED
Obrigado a todos por me ajudarem a resolver este problema. Afinal era uma ligação para gravatar
Provavelmente não há ninguém tentando se conectar
443a uma porta superior local. As conexões geralmente se originam do intervalo de portas dinâmicas (49152 a 65535). O32884sempre32884ou é realmente sempre algo dentro desse intervalo?192.0.73.2Os hosts de endereço IPwordpress.comegravatar.cometc. É muito mais provável que seu servidor esteja se conectando a esse servidor para coletar algumas informações. Não pudemos saber os detalhes, porque não conhecemos seu site e qual é a sua finalidade.Um hit normal para 192.0.73.2 redireciona para https://en.gravatar.com/ . Este definitivamente não é um ataque MITM.
Seu site está usando um módulo do gravatar e está tentando se conectar ao seu servidor para coletar dados, ou seja, o avatar do usuário a ser usado para comentários. Você não precisa se preocupar com isso e, como ele morre após TIMED_WAIT, não é capaz de se conectar ao servidor.
Você não deve se preocupar, pois o IP não é detectado pelo firewall. Seria melhor consertar o módulo tentando acessar gravatar e permitir o acesso a ele.
Esta é uma conexão de saída , seu servidor está se conectando a um endereço remoto, e não o contrário. Isso geralmente se traduz em: você tem algum serviço em segundo plano que envia dados para algum lugar. Para descobrir qual é o processo, use netstat (com permissões de root):
Se você não vê-lo na saída, tente (também como root):
Isso mostrará todas as conexões com o nome do processo relevante. Encontre sua conexão de saída, veja o processo.
Por exemplo, meu servidor mantém regularmente uma conexão de saída com uma porta https externa, porque tenho o Nginx Amplify em execução e ele precisa relatar estatísticas do servidor para ele.
Você pode ver um exemplo disso aqui, na saída atual do meu servidor (redigido):
Meu servidor está fazendo uma conexão de saída de uma porta aleatória para uma porta https, assim como a sua. Execute os comandos, encontre o processo, então você pode decidir se é malicioso ou não.
O IP 192.0.73.2 acabou no meu firewall também hoje. É realmente de gravatar.
A razão para o IP ser pego é porque a conexão TCP tinha sinalizadores syn e fin e meu firewall adiciona essas conexões a uma lista. De https://www.juniper.net/documentation/en_US/junos/topics/concept/tcp-syn-fin-flags.html