Назад | Перейти на главную страницу

Почему много netstat указывает на внешний URL

Наш сервер был почти как DDOS. При выполнении netstat -a я увидел что-то, чего не могу понять (возможно, из-за моих очень ограниченных знаний) 

    root@NC-PH-0456-19:~# netstat -a
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State
    tcp        0      0 *:smtp                  *:*                     LISTEN
    tcp        0      0 localhost:8891          *:*                     LISTEN
    tcp        0      0 mail.mydomain.com:https     *:*                     LISTEN
    tcp        0      0 ss.itqanserver.com:28   *:*                     LISTEN
    tcp        0      0 localhost:mysql         *:*                     LISTEN
    tcp        0      0 *:8686                  *:*                     LISTEN
    tcp        0      0 *:webmin                *:*                     LISTEN
    tcp        0      0 *:http                  *:*                     LISTEN
    tcp        0      0 mail.mydomain.com:https     172.68.118.86:34823     SYN_RECV
    tcp        0      0 mail.mydomain.com:http      162.158.242.18:25496    TIME_WAIT
    tcp        0      0 mail.mydomain.com:http      108.162.245.208:12166   TIME_WAIT
    tcp        0      0 mail.mydomain.com:https     162.158.178.208:30815   ESTABLISHED
    tcp        0      0 mail.mydomain.com:http      162.158.78.147:34651    ESTABLISHED
    tcp        0      0 mail.mydomain.com:https     172.68.118.152:35605    ESTABLISHED 
    tcp        0      0 mail.mydomain.com:https     cf-173-245-62-195:19692 ESTABLISHED
    tcp        0      0 mail.mydomain.com:http      162.158.241.150:24994   ESTABLISHED
    tcp        0      0 mail.mydomain.com:https     108.162.229.205:29668   ESTABLISHED
    tcp        0      0 mail.mydomain.com:http      162.158.178.145:28105   TIME_WAIT
    tcp        0      0 mail.mydomain.com:http      103.31.5.234:34946      TIME_WAIT
    tcp        0      0 mail.mydomain.com:https     108.162.222.143:13795   ESTABLISHED
    tcp        0      0 mail.mydomain.com:http      162.158.38.203:14939    ESTABLISHED
    tcp        0      0 mail.mydomain.com:http      188.114.103.17:10907    ESTABLISHED
    tcp        0      0 mail.mydomain.com:http      cf-199-27-128-213:21775 TIME_WAIT
    tcp        0      0 mail.mydomain.com:http      162.158.39.201:28791    TIME_WAIT
    tcp        0      0 mail.mydomain.com:https     108.162.221.222:22277   ESTABLISHED
    .... and lot more

mail.mydomain.com даже не имеет отношения к нашему серверу, поскольку он настроен Cloudflare для указания на некоторый внешний облачный почтовый сервер. И все эти внешние адреса принадлежат Cloudflare, который мы используем. По некоторым причинам тысячи из этих mail.mydomain.com отключили наш сайт на несколько часов ...

Нас атакуют / взламывают?

Кроме того, мы не могли его замазать, нам пришлось попросить поддержку отключить ufw. Как узнать, взломал ли кто-нибудь брандмауэр?