Sunt într-o încercare de a analiza traficul ridicat de ieșire din VM-ul meu. Analizând jurnalele iftop, am observat că o mulțime de trafic este condus din diferite porturi ale VM-ului meu, cum ar fi :42272, :42292, :42294, :55166 etc.
Mai jos este captura de iftop -P -t -L 10000 | grep "=>" |grep -v https
Mi-am mascat adresa IP ca xx.xxx.x.x
1 xx.xxx.x.x:ssh => 142KB 67.8KB 67.8KB 542KB
561 xx.xxx.x.x:42272 => 688B 172B 172B 1,34KB
562 xx.xxx.x.x:42292 => 688B 172B 172B 1,34KB
563 xx.xxx.x.x:42294 => 687B 172B 172B 1,34KB
564 xx.xxx.x.x:55166 => 0B 172B 172B 1,34KB
565 xx.xxx.x.x:42322 => 686B 172B 172B 1,34KB
566 xx.xxx.x.x:42234 => 0B 171B 171B 1,34KB
567 xx.xxx.x.x:42306 => 684B 171B 171B 1,33KB
568 xx.xxx.x.x:42340 => 684B 171B 171B 1,33KB
569 xx.xxx.x.x:55276 => 0B 171B 171B 1,34KB
570 xx.xxx.x.x:42336 => 683B 171B 171B 1,33KB
571 xx.xxx.x.x:42194 => 0B 171B 171B 1,33KB
572 xx.xxx.x.x:55280 => 0B 171B 171B 1,33KB
573 xx.xxx.x.x:42282 => 681B 170B 170B 1,33KB
574 xx.xxx.x.x:55178 => 0B 170B 170B 1,33KB
575 xx.xxx.x.x:42274 => 680B 170B 170B 1,33KB
576 xx.xxx.x.x:42196 => 0B 170B 170B 1,32KB
Nu stiu ce este acest trafic. Cred că tot traficul către VM-ul meu ar trebui să fie prin serverul Apache (portul 443) și puțin de la :22 pentru ssh-ul meu.
Când număr octeții trimiși prin porturile de mai sus, nu este mult .. aproximativ 32KB/s, dar totuși, dacă este un atac, aș dori să-l repar.
Deci acest trafic pentru aceste porturi suspecte este legitim? Daca nu, care ar trebui sa fie urmatorii mei pasi...
