最近、トラフィックがないと予想されても、OdroidのイーサネットLEDが点滅し続けていることがわかりました。これを実行しましたが、iptrafSSH無差別代入推測試行(次にブロックされます)以外のfail2banTCPトラフィックは表示されませんでした。ただし、ポート123で多くのUDPトラフィックが見つかりました。このトラフィックがどこから来るのかわかりません。
| eth0(46バイト)の188.130.254.14:443から192.168.1.68:123までのUDP
| eth0(46バイト)の188.130.254.14:443から192.168.1.68:123までのUDP
| eth0(46バイト)の121.40.223.68:20630から192.168.1.68:123までのUDP
| eth0の45.63.62.141:33296から192.168.1.68:123までのUDP(46バイト)
ポート123から着信UDPトラフィックを未知のIPアドレスに転送するようにルータを設定しましたが、まだ.netに多くのUDPパケットが表示されますiptraf。何を期待すべきかを知っている人はいますか?
ありがとうございます!
ベストアンサー1
あなたは言う
ntpdを停止しました
もしそうなら、あなたが観察しているのはほぼ確実に違法な活動です。 UDP/123 はいIANA割り当てポート、他の合法的なアプリケーションでは使用できません。公式IANAポート割り当てページには、次の内容が記載されています。:
割り当てられたシステムポートとユーザーポートは、IANA登録なしまたは登録前に使用できません。
(システムポートは、0〜1023の範囲のポートと同じ文書で定義されています)。
ポートTCP/123ルート資格情報を取得した破損したシステムでは、システムポートがしばしば違法トラフィックを密封するために使用されることを示すよく知られているマルウェアで使用されます。 TCPの代わりにUDPを使用するにはいくつかの正当な理由があります。ラインシャークまったく役に立たず、システムポートを使用します(無実のポートを使用すると検出を回避するのは簡単です)。
以上ラインシャーク、あなたの友人は春夏シーズン:
ss -lnup | grep 123
ポートUDP / 123でリッスンするプロセスIDが提供されます。とは別にネットワーク伝送プロトコル、またはさらに悪いことは、あなたが損傷しているという兆候がないということです。しかし、私たちはそこに着くとその橋を渡ります。
編集する:
あなたのコメントに対するフォローアップ。ハッキングされたという証拠は次のとおりです。
UDP / 123で実行され、痕跡を残さない神秘的なサービス(ルートキットの存在を暗示)
ルータに不思議なポート転送が表示されます。
接続から消費者アカウント(確認してくださいWhatismyipaddress.comまたは誰ですか?注文する)。さて、まったくあなたが提供した3つのIPアドレスのうちの1つがリモートに接続されています。ネットワーク伝送プロトコル仕える人。
最も安全なオプションは、OSを再インストールしてからルーターの設定(パスワードを含む)を変更することです(パスワードログインを完全に無効にし、代わりに暗号化キーを使用することもできます)。ただ httpsつながる。重要なデータがあるため、オペレーティングシステムを再インストールしたくない場合は、USBスティックで実行されているLinuxディストリビューションを使用し(Ubuntuでは可能)、ここからコンピュータを起動できます(いいえハードドライブから)インストールクラマフ、ヘッドハンターそしてchkrootハードドライブで動作するように設定してください。これにより、マルウェアが存在するディスクがパッシブに使用されるため、一部のマルウェアはマルウェア対策プログラムの検出を回避できません。つまりそのプログラムが実行されていません。
また、パスワードで保護することを忘れないでください(失敗2禁止それでも現在の保護では十分ではないため、常に暗号化キーを使用する必要があります。また、デフォルトポートを変更してください。SSHリンクを使用すると、少なくともスクリプトキディには見えなくなります(もちろん決断力のある相手は決してそのような戦術にだまされません)。また、読みたいと思うかもしれませんこの投稿、答えが含まれているので、より多くのヒントを得ることができます。
頑張ってください。