中间进攻的人，还是别的什么？

Question

我想知道是否有人能帮我解决这个问题。

我们有一个仅通过https:// port 443提供的webservice。

使用netstat，我看到有特定的ip试图连接到服务器。

例如，所有其他连接从它们的端口连接到服务器的443端口(正常的https行为)。

这个特定的ip: 192.0.73.2试图打开从远程端口443到本地端口的连接。(它的状态总是TIME_WAIT，它消失了，然后在大约一分钟后返回为TIME_WAIT。

我公开报告这个ip，因为它以前已经在这里报道过了：https://www.abuseipdb.com/check/192.0.73.2

有一个思科防火墙保护公司的网络和我的系统管理员告诉我，他找不到任何从ip到服务器的任何攻击。但netstat工具报告的情况并非如此。

你能给我提点建议吗？或者告诉我发生了什么？谢谢!

这就是netstat命令显示的内容：

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 server_ip:32884         192.0.73.2:443      TIME_WAIT
tcp6       0  69000 server_ip:443           remote_ip:65045     ESTABLISHED
tcp6       0      0 server_ip:443           remote_ip:20467     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:55430     TIME_WAIT
tcp6       0      0 server_ip:443           remote_ip:65248     ESTABLISHED

谢谢你们帮我解决这个问题。这是对

的呼唤

Answer 1

正常命中到192.0.73.2重定向到https://en.gravatar.com/。这绝对不是MITM的攻击。

您的网站使用的是一个模块的凹版，它试图连接到它的服务器收集数据，即用户化身将用于评论。您不必担心它，而且由于它在TIMED_WAIT之后死亡，所以无法连接到服务器。

您不应该担心，因为没有从防火墙检测到IP。最好是修复模块，试图访问凹版，并允许访问它。

Answer 2

可能没有人试图从443连接到本地的上层端口。连接通常来自动态端口范围(49152到65535)。32884总是32884还是实际上总是在这个范围内？

IP地址192.0.73.2、wordpress.com和gravatar.com等等。更有可能的是，您的服务器连接到该服务器来收集一些信息。我们不知道细节，因为我们不知道你的网站和目的是什么。

Answer 3

这是一个出站连接，您的服务器正在连接到一个远程地址，而不是反过来。这通常转化为:您有一些后台服务，可以将数据发送到某个地方。要确定进程是什么，请使用netstat (具有根权限)：

netstat -tulpn

如果您没有在输出中看到它，请尝试(也作为root用户)：

lsof -i tcp

这将显示与相关进程名称的所有连接。找到你的外向连接，看看这个过程。

例如，我的服务器定期维护到外部https端口的出站连接，因为我已经在运行Nginx放大器，它需要向它报告服务器统计信息。

在我的服务器的当前输出(编辑)中，您可以在这里看到这方面的一个例子：

joe@testbed~$ sudo lsof -i tcp
COMMAND     PID      USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
amplify-a  6355  user-nam   14u  IPv4  7657189     0t0  TCP testbed.avx.local:36970->ec2.us-west-1.compute.amazonaws.com:https (ESTABLISHED)

我的服务器正在进行从随机端口到https端口的出站连接，就像您的服务器一样。运行命令，找到进程，然后您就可以判断它是否是恶意的。