когда я наблюдал за сетевой активностью моего сервера, используя netstat -na, через секунду я заметил следующую для меня странную строку:
сначала это было:
tcp 0 0 XXX.XXX.XXX.XXX:22 YYY.YYY.YYY.YYY:48085 SYN_RECV
и через несколько секунд после того, как я заметил:
udp 0 0 XXX.XXX.XXX.XXX:34151 YYY.YYY.YYY.YYY:33486 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34152 YYY.YYY.YYY.YYY:33487 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34153 YYY.YYY.YYY.YYY:33488 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34157 YYY.YYY.YYY.YYY:33492 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34158 YYY.YYY.YYY.YYY:33493 ESTABLISHED
udp 0 0 XXX.XXX.XXX.XXX:34160 YYY.YYY.YYY.YYY:33494 ESTABLISHED
это кто-то пытался подключиться по ssh? какая была вторая часть, когда соединение установлено?
еще странно то, что все мои порты 1024-65535 закрыты iptables.
пожалуйста помоги!
Второй набор - UDP, поэтому он не связан с SSH. Порты мне предлагают traceroute, который обычно начинается с порта 33434 на странице руководства. Вы проследили его IP-адрес после обнаружения соединения?
Во-первых, кто-то пытается подключиться к вашей машине через SSH.
Не зная, какие программы находятся на вашем конце соединения, невозможно полностью узнать, что это за второй набор. Это исходящие соединения, поскольку вы говорите, что входящие соединения запрещены через iptables.