能帮忙看看我的服务器是否在发送 NTP 攻击?

2014-11-11 23:56:13 +08:00

halczy

今天刚刚拿到一台新的装了Ubuntu 14.10服务器. 发现一直都会连着数个NTP链接. 到手的时候就有, Google的一段时间都没有发现要如何检测. 我的监控流量看见每隔一段时间就会发几个UDP NTP包. 请问这正常吗? 我其他的服务器都没有这样的NTP链接. 如果被黑了, 要怎么修复? 谢谢!

3332 次点击

所在节点

Ubuntu

8 条回复

mengskysama

2014-11-12 01:15:00 +08:00

正常的，更新下ntp到到最新版本，其他不用管。是一个反射漏洞，肯定有黑客在扫描整个网络的NTP服务器，看看有没有能够利用的。（这事我前段时间才干过

Livid

2014-11-12 01:16:59 +08:00

ufw 只开需要开的端口。

比如只开 22 80 443 的话：

ufw allow 22
ufw allow 80
ufw allow 443
ufw enable

halczy

2014-11-12 01:39:43 +08:00

@mengskysama 可以就这样不管吗? 已经升级到最新了.

@Livid 感谢, 用iptables了. 但是还这些NTP没有消失.

-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP

bitwing

2014-11-12 02:51:21 +08:00

ntp 服务不能禁用吗，iptables OUTPUT 链也做限制试试

halczy

2014-11-12 03:20:03 +08:00

@bitwing 没有找到NTP服务...所以加了-A INPUT -m state --state NEW -p udp --dport 123 -j DROP 进iptables. 不知会不会有作用.

AstroProfundis

2014-11-12 07:05:07 +08:00

@halczy 叫 ntpd

mengskysama

2014-11-12 08:10:14 +08:00

没关系的。不管就行了，只要不能够反射放大这个漏洞对你没影响的。

codeninja

2014-11-12 14:56:05 +08:00

在output上drop掉ntp啊

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/145770

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.