Início / unix / Perguntas / 788812
Accepted
cat pants
Asked: 2024-12-29 08:27:08 +0800 CST

Centenas de conexões estranhas no iftop

  • 772

O SO é Debian. Estou executando o nginx como um servidor web. Não estou executando o Wordpress. O registro está habilitado no bloco http com:

  access_log /var/log/nginx/access.log;
  error_log /var/log/nginx/error.log;

Estou vendo centenas de conexões no iftop do meu servidor web na porta 443 para 191-242.xxalivenet.com.br, para algumas centenas de IPs diferentes.

As coisas estranhas são:

  • Nenhum dos endereços IP listados pelo iftop aparece nos meus logs nginx, que venho mantendo desde a criação do servidor.

  • Essas conexões aparecem no iftop mesmo se o nginx não estiver em execução. Como isso é possível? Tentei parar o nginx, depois confirmei com o netstat que nada está escutando nas portas 80 ou 443, mas ainda vejo centenas dessas conexões listadas no iftop. Como o iftop pode mostrar essas conexões se nada está escutando nessas portas? Até tentei desabilitar o nginx e depois reiniciar meu servidor, mas elas ainda aparecem.

  • lsof -a -i4 -i6 -itcpnão mostra nenhuma dessas conexões de alguma forma.

  • No nethogs, vejo uma linha: ? root <ip of my web server>:443-191.242.x.x:<random port>. Executando como root? Ponto de interrogação para o pid? Isso parece absolutamente louco para mim. Isso significa que há algum processo em execução no meu sistema que de alguma forma não tem um pid atribuído, executando como root, de alguma forma escutando na porta 443, apesar do nginx supostamente estar usando essa porta no momento, que está enviando tráfego para um desses ips brasileiros?

O que exatamente está acontecendo aqui? Preciso me preocupar? Meu servidor foi hackeado? O que mais devo verificar para confirmar que o servidor está ok? Preciso bloquear esses ips via iptables? Como separo tentativas de hack do tráfego legítimo do servidor web? (por exemplo, alguém no Brasil está tentando visitar meu site) Como o nethogs não pode mostrar um pid? Como o iftop pode mostrar conexões em portas que não estão escutando? Como essas conexões não podem aparecer nos logs do nginx?

security

1 respostas

  1. Best Answer

    O que exatamente está acontecendo aqui?

    Parece que algum botnet está inundando você com tentativas de conexão TCP

    Preciso me preocupar?

    Diga-nos: isso está causando problemas na operação do seu servidor até agora?

    O motivo pelo qual o botnet pode estar fazendo isso pode ser variado, mas os motivos pelos quais eles podem estar fazendo isso:

    • simplesmente colocar uma carga significativa no seu servidor para derrubá-lo (ataque DDoS), talvez por diversão, talvez para extorquir dinheiro (é para isso que a botnet Mirai foi criada, extorquir dinheiro de crianças que administram servidores de Minecraft. Pessoas em tecnologia não são universalmente boas), talvez para manter seu site offline.
      • Talvez porque os invasores realmente tentaram implementar um scanner de servidor web distribuído, mas bagunçaram a implementação.
    • ocultando alguns outros padrões de acesso específicos no ruído do log

    (e tenho certeza que as pessoas conseguem pensar em mais motivos).

    Agora, se você não tem dados em um servidor web público que não quer que sejam públicos, se a varredura não cria carga significativa em seu servidor e se você mantém os aplicativos web e a plataforma do servidor atualizados: você provavelmente está bem. Varreduras de servidores são algo muito comum de acontecer, assim como inundações TCP SYN, infelizmente.

    • 1

relate perguntas