Недавно Amazon сообщил мне, что один из моего экземпляра (под управлением Ubuntu 18.04 LTS) участвует DoS-атака. Они послали мне автоматически сгенерированное электронное письмо, которое включает журналы. Это был шок для меня для наблюдения тех журналов, потому что это показывает некоторое приложение на моих подключениях экземпляра к внешним IP-адресам на порте UDP 8763 и отправляет данные. У меня никогда не было прямо или косвенно выполнения этого вида действия.
Строки журнала похожи:
1576787081.299481 54.x.x.140 → 104.x.85.138 UDP 8763 → 62058 Len=1052
1576787081.299588 54.x.x.140 → 104.x.85.138 UDP 8763 → 62058 Len=1052
1576787081.299631 54.x.x.140 → 104.x.85.138 UDP 8763 → 62058 Len=1052
1576787081.299842 54.x.x.140 → 104.x.85.138 UDP 8763 → 62058 Len=1052
1576787081.299913 54.x.x.140 → 104.x.85.138 UDP 8763 → 62058 Len=1052
Здесь 54.x.x.140 IP-адрес моей машины, и 104.x.85.138 то, где это соединило и отправило данные. Все, что мне нравится знать, является там каким-либо путем в Ubuntu, которая скажет мне, которого приложение подключило с который внешние порты?
Заранее спасибо,
Можно использовать встроенное netstat
для проверки сетевых соединений.
sudo netstat -tupln
Вы будете видеть эти PID/Program name
, если название программы будет нечетко, можно отфильтровать PID
ps aux | grep PID
для наблюдения который использование процесса порт.
Далее больше, существует программа, названная nethogs
, она группирует процесс, который показывает сетевые активности на программу.
sudo apt install nethogs
sudo nethogs