У меня есть то, что я считаю чистой системой CentOS 7, и я хотел увидеть сетевой трафик, поэтому я установил NetHogs. Я был удивлен, увидев случайные подключения, в основном к азиатско-тихоокеанской сети RIPE. Однако я также вижу связи здесь, в штатах и в Центральной Америке.
NetHogs version 0.8.2-SNAPSHOT
PID USER PROGRAM DEV SENT RECEIVED
1421 tnsun sshd: tnsun@pts/0 enp0s3 0.568 0.064 KB/sec
? root xxx.xxx.xxx.xxx:1433-156.3.174.102:56800 0.000 0.000 KB/sec
? root xxx.xxx.xxx.xxx:3306-123.249.45.210:46686 0.000 0.000 KB/sec
? root xxx.xxx.xxx.xxx:111-66.240.236.119:11748 0.000 0.000 KB/sec
? root xxx.xxx.xxx.xxx:23-191.109.233.156:56641 0.000 0.000 KB/sec
? root unknown TCP 0.000 0.000 KB/sec
TOTAL 0.568 0.064 KB/sec
Я решил, что меня взломали, и, поскольку этот сервер еще не запущен, я решил, что проще всего создать еще одну виртуальную машину.
Начав с нуля, я установил минимальную CentOS 7 и подключился к сети. Я немедленно отключил root ssh logins, обновил yum и установил iptables, блокируя почти все.
Затем я установил vim и из любопытства снова установил NetHogs. Для этого потребовался EPEL Repo, но он мне нужен для других целей, поэтому я включил его.
Запуск NetHogs показывает мне, что даже на виртуальной машине, которой меньше 30 минут на новом IP-адресе, который не использовался, система все еще устанавливает соединения с неизвестными хостами.
Могло ли что-то, что я установил, взломать? Все, что я установил, было получено из репозиториев по умолчанию, за исключением NetHogs, которые были получены из репозитория EPEL.
Я понял.
Это всего лишь система, проверяющая открытые порты. Я не взломан. :)