某些IP可以使用丢弃iptables规则建立到服务器的tcp连接_Tcp_Firewall_Iptables

某些IP可以使用丢弃iptables规则建立到服务器的tcp连接

tcp

某些IP可以使用丢弃iptables规则建立到服务器的tcp连接,tcp,firewall,iptables,Tcp,Firewall,Iptables,我被雇来修复服务器的黑客问题，我发现ip 37.187.253.240和其他一些ip可以连接到特定端口，但它们是不允许的服务器中安装了csf防火墙，并且该端口在csf.conf中未对所有端口开放列表csf.allow中只添加了一些IP 通过iptables-L确定的当前iptables状态为：输入链（删除策略），仅接受某些IP。这个ip 37.187.253.240没有任何规则如果我通过csf-x停止csf并通过iptables-F刷新iptables规则，那么为了确保csf不是原因，我

我被雇来修复服务器的黑客问题，我发现ip 37.187.253.240和其他一些ip可以连接到特定端口，但它们是不允许的

服务器中安装了csf防火墙，并且该端口在csf.conf中未对所有端口开放

列表csf.allow中只添加了一些IP

通过

iptables-L

确定的当前iptables状态为：输入链（删除策略），仅接受某些IP。这个ip 37.187.253.240没有任何规则

如果我通过

csf-x

停止csf并通过

iptables-F

刷新iptables规则，那么为了确保csf不是原因，我只为该ip添加了一个DROP rule

iptables-a INPUT-p tcp-s 37.187.253.240-j DROP

，我发现它也可以通过netstat连接

tcp        0     0 server_ip:port    37.187.253.240:16132    ESTABLISHED

Ubuntu 14.04.3 LTS ，托管于vmware.com

发生这种情况的可能性有多大？

请在禁用CSF防火墙并刷新iptables规则的情况下进行测试，尝试以下操作：

ip route add blackhole 37.187.253.240

这将丢弃从37.187.253.240接收或从服务器发送到37.187.253.240的所有数据包

然后使用netstat检查，看看是否仍然可以看到与ip地址的连接

由于服务器遭到黑客攻击，可能有一个进程在服务器上运行，该进程以前以某种方式建立了与该ip地址的连接，并且该连接保持活动状态

您可以执行lsof-i | grep 16132并查看哪个进程正在使用该端口。如果来自该服务器的网站遭到黑客攻击，您可以重新启动httpd/apache服务来终止连接