全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
查看: 2665|回复: 13

[疑问] Linode发现有来之波兰的频繁访问。大家遇到过类似问题没?

[复制链接]
发表于 2010-7-18 20:50:38 | 显示全部楼层 |阅读模式
之前因为对外流量过大发过一贴,http://www.hostloc.com/thread-23308-1-2.html

后来与linode客服交流,自己用tcpdump查了一下,发现有来自aerh186.neoplus.adsl.tpnet.pl的频繁访问。
17:59:00.182412 IP aerh186.neoplus.adsl.tpnet.pl.51188 > li137-181.members.linode.com.57216: Flags [.], ack 3193021, win 65335, length 0
17:59:00.188205 IP aerh186.neoplus.adsl.tpnet.pl.51188 > li137-181.members.linode.com.57216: Flags [P.], seq 2944:2948, ack 3194481, win 65335, length 4

很奇怪怎么会有来自这里的访问,而且还是端口57216,那么就不是来自web服务的访问了?57216这个端口是干嘛用的?

linode的回复如下:
Thank you for contacting us. I looked up that host and it appears to be a customer of "NEOSTRADA-ADSL" in Poland. If this is not traffic that you want, I recommend that you block that IP using 'iptables' and then report it to abuse@tpnet.pl.

Please let us know if you have any further questions.

自己查了一下,用”iptables -I INPUT -s aerh186.neoplus.adsl.tpnet.pl -j DROP“命令行希望能阻止它。

god bless me,希望不要继续出岔子。。。
 楼主| 发表于 2010-7-18 22:03:25 | 显示全部楼层
刚刚用netstat -a得到如下结果:

tcp        0 168672 li137-181.members:42515 ppp-115-87-207-12:10308 ESTABLISHED
tcp        0 155364 li137-181.members:53124 dslb-188-098-100-2:1025 ESTABLISHED
tcp        0      0 li137-181.members:33450 173.208.151.65:9000     ESTABLISHED
tcp        0 138700 li137-181.members:43157 bzq-84-109-58-7.re:1025 ESTABLISHED
tcp        0 124584 li137-181.members:58684 adsl-76-214-159-18:1024 ESTABLISHED
tcp        0 146652 li137-181.members:44562 adsl-69-235-92-186:1024 ESTABLISHED

这些连接都是些干什么的? 连的怎么都是我linode上奇怪的端口?
发表于 2010-7-18 22:04:55 | 显示全部楼层
可以写一篇博客,标题为 波兰来客。
发表于 2010-7-18 22:21:48 | 显示全部楼层
把那个段直接封了就行。客服已经告诉你了啊。
 楼主| 发表于 2010-7-18 23:01:44 | 显示全部楼层
原帖由 杯具 于 2010-7-18 22:21 发表
把那个段直接封了就行。客服已经告诉你了啊。


恩,我已经封了,但是貌似还有其他奇怪的链接,见2楼netstat -a的结果。

和客服交流了下,把那些奇怪的端口也都封了。

怕就怕封了这个IP,又来新的,封了这个端口,又有新的端口被用。

就没有人碰到类似的问题吗? 就我这么倒霉。。。哭~
 楼主| 发表于 2010-7-18 23:08:29 | 显示全部楼层
原帖由 geminijun 于 2010-7-18 22:03 发表
刚刚用netstat -a得到如下结果:

tcp        0 168672 li137-181.members:42515 ppp-115-87-207-12:10308 ESTABLISHED
tcp        0 155364 li137-181.members:53124 dslb-188-098-100-2:1025 ESTABLISHED
tcp        ...


刚刚关掉那些奇怪端口的访问,又来了新的,要死了,这些都是干啥的啊?

tcp 0 143788 li137-181.members:34245 host135.natpool.mw:1024 ESTABLISHED
tcp 0 0 li137-181.members.l:www ool-43523a4b.dyn.:50811 TIME_WAIT
tcp 0 0 li137-181.members.l:www ool-43523a4b.dyn.:50808 TIME_WAIT
tcp 0 0 li137-181.members.l:www ool-43523a4b.dyn.:50810 TIME_WAIT
tcp 0 0 li137-181.members.l:www ool-43523a4b.dyn.:50812 TIME_WAIT
tcp 0 0 li137-181.members:44798 31337.31337.31337.:ircd ESTABLISHED
tcp 0 0 li137-181.members.l:www ool-43523a4b.dyn.:50809 TIME_WAIT
tcp 0 0 li137-181.members.l:www ool-43523a4b.dyn.:50815 TIME_WAIT
tcp 0 224 li137-181.members.l:ssh 59.174.82.48:19327 ESTABLISHED

www和ssh都是正常的,可34245和44798?而且host135.natpool.mw和31337.31337.31337.:ircd都是些什么地方的地址啊?
发表于 2010-7-18 23:14:58 | 显示全部楼层
有什么冗余发现没?
 楼主| 发表于 2010-7-18 23:27:09 | 显示全部楼层
原帖由 酥油茶 于 2010-7-18 23:14 发表
有什么冗余发现没?


你指的啥发现? 我刚刚用"netstat -a"发现了这个:
tcp 0 0 li137-181.members.l:ssh net99-118.4web.pl:44186 ESTABLISHED
tcp 0 48 li137-181.members.l:ssh 59.174.81.7:10340 ESTABLISHED
tcp 0 0 li137-181.members.l:ssh 59.174.82.48:19327 ESTABLISHED

后面两个都是我的,net99-118.4web.pl这是哪来的?看后缀又是波兰的?
但是我用last命令却没有查到这个地址的登陆,这又是怎么会是?
root pts/0 59.174.81.7 Sun Jul 18 23:17 still logged in
root pts/1 59.174.82.48 Sun Jul 18 21:23 still logged in
root pts/1 59.174.82.48 Sun Jul 18 21:14 - 21:22 (00:07)

我今天才改的SSH的密码啊,还是很复杂的一个,难道被破解攻击了?oh my god!~
发表于 2010-7-18 23:28:45 | 显示全部楼层
实际登陆地点不是博览的
发表于 2010-7-18 23:32:29 | 显示全部楼层
据说波澜黑客比较黑
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-3-29 21:50 , Processed in 0.063104 second(s), 8 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表