主页 / ubuntu / 问题 / 1268713
Accepted
Shadi Khosravi
Asked: 2020-08-21 06:17:08 +0800 CST

如何找到面临的服务或进程 [UFW BLOCK]

  • 772

我花了一整天的时间试图找到我的问题的答案,但没有运气,所以我决定在这里写。我不是Linux专家,如果我的问题很愚蠢,请原谅。我在我的 中看到以下消息/var/log/syslog

applications kernel: [24592.875919] [UFW BLOCK] IN= OUT=ens18 SRC=192.168.1.100 DST=91.189.89.199 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=36213 DF PROTO=UDP SPT=33338 DPT=123 LEN=56

其中 192.168.1.100 是我服务器的 IP 地址。请注意,我定义了 UFW 规则,因此除非绝对必要,否则不会打开传出或传入端口,因此阻止此类请求是正确的操作。现在我的猜测是我的服务器中某处有一个恶意文件每 30 分钟左右触发一次(这是它在日志中显示的频率)但是,每次尝试的目标 IP 和 SPT 都不同。现在我想找到可执行文件/进程/或导致此消息的任何内容,但到目前为止还没有运气!

我将不胜感激您的任何帮助。

networking server firewall process ufw

1 个回答

  1. Best Answer

    对于您的示例阻塞数据包,关键指标是目标端口 123。即网络时间协议端口。所以提示是该服务是 NTP,Ubuntu 确实运行该服务。第二个指标是查找为 的目标地址golem.canonical.com,我假设它是 Ubuntu NTP 主机。实际上,进行反向查找ntp.ubuntu.com会给出相同的 IP,因此它有一些别名:

    $ nslookup ntp.ubuntu.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   ntp.ubuntu.com
Address: 91.189.89.198
Name:   ntp.ubuntu.com
Address: 91.189.89.199
Name:   ntp.ubuntu.com
Address: 91.189.94.4
Name:   ntp.ubuntu.com
Address: 91.189.91.157

    因此,该服务是 NTP。

    检查通过(此示例在服务器上,可能桌面相同):

    $ systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
     Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled; vendor preset: enabled)
     Active: active (running) since Wed 2020-08-19 15:22:05 PDT; 16h ago
       Docs: man:systemd-timesyncd.service(8)
   Main PID: 640 (systemd-timesyn)
     Status: "Initial synchronization to time server 91.189.89.199:123 (ntp.ubuntu.com)."
      Tasks: 2 (limit: 18892)
     Memory: 1.2M
     CGroup: /system.slice/systemd-timesyncd.service
             └─640 /lib/systemd/systemd-timesyncd

Aug 19 15:22:05 s18 systemd[1]: Starting Network Time Synchronization...
Aug 19 15:22:05 s18 systemd[1]: Started Network Time Synchronization.
Aug 19 15:22:11 s18 systemd-timesyncd[640]: Network configuration changed, trying to establish connection.
Aug 19 15:22:11 s18 systemd-timesyncd[640]: Initial synchronization to time server 91.189.89.199:123 (ntp.ubuntu.com).

    当我的工作时,您的将无法同步,因为您阻止了数据包。

    • 1

相关问题