Ubuntu - 埠 123 上的 UDP 流量

我注意到，最近，我的 Odroid 的乙太網 LED 一直在閃爍，即使我預計沒有流量也是如此。我跑了iptraf，除了 SSH 蠻力猜測嘗試（然後被 阻止fail2ban）之外，我沒有看到任何 TCP 流量。但是，我注意到埠 123 上有大量 UDP 流量，我不知道從哪裡來。

| eth0 上從 188.130.254.14:443 到 192.168.1.68:123 的 UDP（46 字節）

| eth0 上從 188.130.254.14:443 到 192.168.1.68:123 的 UDP（46 字節）

| eth0 上從 121.40.223.68:20630 到 192.168.1.68:123 的 UDP（46 字節）

| eth0 上從 45.63.62.141:33296 到 192.168.1.68:123 的 UDP（46 字節）

我將路由器配置為將埠 123 上的傳入 UDP 流量轉發到未知 IP 地址，但仍然在iptraf. 有誰知道可能會發生什麼？

謝謝！

你說

我已經停止了ntpd

那麼你所觀察到的幾乎肯定是非法活動。UDP/123 是IANA 分配的埠，它不能被任何其他合法應用程序使用：官方 IANA 埠分配頁面指出：

在 IANA 註冊之前或之前，不應使用分配的系統埠和使用者埠。

（系統埠在同一文件中的較高位置定義為 0-1023 範圍內的埠）。

眾所周知的惡意軟體使用了埠 TCP/123 ，這表明在已獲得 root 憑據的受感染系統中，系統埠通常用於走私非法流量。使用 UDP 而不是 TCP 有很多合理的原因，其中最重要的一個可能是使用加密的 VPN（在這種情況下，wireshark至少不會幫助您），以及使用系統埠（更容易如果你使用一個無辜的埠來逃避檢測）。

不止wireshark，你的朋友是ss：

ss -lnup | grep 123

將為您提供偵聽埠 UDP/123 的程序的 ID。除了ntp之外的任何東西，或者更糟糕的是，什麼都沒有，都意味著你已經被闖入了。但是當我們到達那裡時，我們會穿過那座橋。

編輯：

跟進您的評論。這些證據表明您已被黑客入侵：

1. 在 UDP/123 上執行的神秘服務，不留痕跡（這表明存在 rootkit）；
2. 路由器上出現神秘的埠轉發；
3. 來自消費者帳戶的連接（在whatismyipaddress.com或使用whois命令檢查它們）。順便說一句，您提供的三個 IP 地址都沒有遠端連接到ntp伺服器。

您最安全的選擇是重新安裝您的作業系統，然後更改路由器的配置（包括密碼！！）（可能完全禁用密碼登錄以支持使用加密密鑰）以僅允許 https連接。如果你不想重新安裝作業系統，因為你有敏感數據，然後從 U 盤執行任何 Linux 發行版（Ubuntu 就可以了），從它啟動你的電腦（而不是從你的硬碟），安裝clamav，rkhunter和chkroot在 USB 密鑰上，並將它們設置為在您的硬碟上工作。這避免了某些惡意軟體逃避反惡意軟體程序檢測的能力，因為惡意軟體所在的磁碟被被動使用，即上面的程序沒有執行。

另外，請記住密碼保護（儘管有fail2ban）現在還不夠，您應該始終使用加密密鑰。此外，更改ssh連接的預設埠使您至少對腳本小子不可見（儘管任何堅定的對手永遠不會被這種策略所愚弄）。此外，您可能希望閱讀這篇文章，包括答案，以獲得更多提示。

祝你好運。

引用自：https://unix.stackexchange.com/questions/404701