netstat показывает много неизвестных соединений от различных странных мест. они, просто пытаются установить соединение? или мой сервер поставлен под угрозу? Я удалил свои локальные адреса из журнала ниже:
STREAM CONNECTED 8353 P8352 [root@ns512646 ~]# netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 s1.securityresearch.3:60000 ESTABLISHED tcp 0 0 hn.kd.ny.adsl:17353 ESTABLISHED tcp 0 0 s4.securityresearch.3:60000 ESTABLISHED tcp 0 0 s3.securityresearch.3:60000 ESTABLISHED tcp 0 0 hn.kd.ny.adsl:28534 ESTABLISHED tcp 0 0 s4.securityresearch.3:60000 ESTABLISHED
Если соединения УСТАНОВЛЕНЫ, то это означает, что удаленный подключающийся хост успешно согласовал сеанс с некоторой службой, прослушивающей ваш хост.
Удаление столбца локального адреса здесь, к сожалению, не включает ключевую информацию. Вы хотите знать, к каким службам / портам подключены эти удаленные узлы на вашем компьютере, и является ли этот трафик законным / ожидаемым или нет.
Вы можете добавить флаг -p
в netstat в дать вам PID и имя программы процессов, которые прослушивают эти порты. (Требуются права суперпользователя для просмотра процессов, отличных от ваших) и -e
, чтобы показать, от имени какого пользователя запущен процесс.
Если вы наберете netstat -na он даст вам более подробную информацию, у вас есть сервер и вы не знаете, что к нему подключено.
Также, это очень простой запрос, обращение к man netstat избавило бы вас от необходимости запускать такой запрос.