Мне было интересно, может ли кто-нибудь помочь мне с этой проблемой.
У нас есть веб-сервис, который доступен только через https: // порт 443.
Используя netstat, я вижу, что есть определенный ip, который пытается подключиться к серверу.
Например, все остальные подключения подключаются к серверу со своего порта на порт сервера 443 (нормальное поведение https).
Этот конкретный ip: 192.0.73.2 пытается открыть соединение с удаленного порта 443 на локальный порт. (Его состояние всегда TIME_WAIT, оно уходит, а затем возвращается как TIME_WAIT через минуту или около того.
Я сообщаю об этом IP открыто, потому что об этом уже сообщалось здесь раньше: https://www.abuseipdb.com/check/192.0.73.2
Существует брандмауэр CISCO, который защищает сеть компании, и мой системный администратор сказал мне, что он не может найти никаких обращений с этого IP-адреса на сервер. Но инструмент netstat сообщает об обратном.
Вы можете мне что-нибудь предложить? Или скажите, что происходит? Спасибо!
Вот что показывает команда netstat:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 server_ip:32884 192.0.73.2:443 TIME_WAIT
tcp6 0 69000 server_ip:443 remote_ip:65045 ESTABLISHED
tcp6 0 0 server_ip:443 remote_ip:20467 TIME_WAIT
tcp6 0 0 server_ip:443 remote_ip:55430 TIME_WAIT
tcp6 0 0 server_ip:443 remote_ip:65248 ESTABLISHED
Спасибо всем за помощь в решении этой проблемы. В конце концов, это был призыв к граватару
Наверное, никто не пытается подключиться с 443
в местный верхний порт. Соединения обычно происходят из динамического диапазона портов (с 49152 по 65535). Это 32884
всегда 32884
или это всегда что-то в пределах этого диапазона?
IP-адрес 192.0.73.2
хозяева wordpress.com
и gravatar.com
и т. д. Более вероятно, что ваш сервер подключается к этому серверу для сбора некоторой информации. Мы не могли знать подробностей, потому что не знаем ваш сайт и его назначение.
Обычное обращение к 192.0.73.2 перенаправляет на https://en.gravatar.com/. Это определенно не атака MITM.
Ваш веб-сайт использует модуль gravatar и пытается подключиться к своему серверу для сбора данных, то есть Пользователь аватар будет использоваться для комментариев. Вам не нужно беспокоиться об этом, и поскольку он умирает после TIMED_WAIT, он не может подключиться к серверу.
Не стоит беспокоиться, так как IP-адрес не определяется брандмауэром. Было бы лучше исправить модуль, пытающийся получить доступ к граватару, и разрешить доступ к нему.
Это исходящий соединение, ваш сервер подключается к удаленному адресу, а не наоборот. Обычно это означает: у вас есть какая-то фоновая служба, которая куда-то отправляет данные. Чтобы понять, что это за процесс, используйте netstat (с правами root):
netstat -tulpn
Если вы не видите его в выводе, попробуйте (также как root):
lsof -i tcp
Это покажет вам все соединения с соответствующим именем процесса. Найдите свое исходящее соединение, посмотрите процесс.
Например, мой сервер регулярно поддерживает исходящее соединение с чужим https-портом, потому что у меня работает Nginx Amplify, и ему нужно сообщать ему статистику сервера.
Вы можете увидеть пример этого здесь, в текущем выводе моего сервера (отредактировано):
joe@testbed~$ sudo lsof -i tcp
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
amplify-a 6355 user-nam 14u IPv4 7657189 0t0 TCP testbed.avx.local:36970->ec2.us-west-1.compute.amazonaws.com:https (ESTABLISHED)
Мой сервер устанавливает исходящее соединение со случайного порта на порт https, как и ваш. Запустите команды, найдите процесс и решите, вредоносный он или нет.
IP 192.0.73.2 тоже сегодня оказался в моем брандмауэре. Это действительно от граватара.
Причина перехвата IP-адреса заключается в том, что TCP-соединение имеет флаги синхронизации и fin, и мой брандмауэр добавляет эти соединения в список. Из https://www.juniper.net/documentation/en_US/junos/topics/concept/tcp-syn-fin-flags.html
Флаги управления SYN и FIN обычно не устанавливаются в одном заголовке сегмента TCP. Флаг SYN синхронизирует порядковые номера для установления TCP-соединения. Флаг FIN указывает на конец передачи данных для завершения TCP-соединения. Их цели взаимоисключающие. Заголовок TCP с установленными флагами SYN и FIN является аномальным поведением TCP, вызывающим различные ответы от получателя в зависимости от ОС.