能帮忙看看我的服务器是否在发送 NTP 攻击?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Ubuntu

› Ubuntu Edge

› Snappy Ubuntu

› Canonical

› Uncomplicated Firewall

› upstart

这是一个创建于 3661 天前的主题，其中的信息可能已经有所发展或是发生改变。

今天刚刚拿到一台新的装了Ubuntu 14.10服务器. 发现一直都会连着数个NTP链接. 到手的时候就有, Google的一段时间都没有发现要如何检测. 我的监控流量看见每隔一段时间就会发几个UDP NTP包. 请问这正常吗? 我其他的服务器都没有这样的NTP链接. 如果被黑了, 要怎么修复? 谢谢!

NTP

服务器

udp

8 条回复 • 2014-11-12 14:56:05 +08:00

mengskysama

2014-11-12 01:15:00 +08:00

正常的，更新下ntp到到最新版本，其他不用管。是一个反射漏洞，肯定有黑客在扫描整个网络的NTP服务器，看看有没有能够利用的。（这事我前段时间才干过

Livid

MOD

2014-11-12 01:16:59 +08:00

ufw 只开需要开的端口。

比如只开 22 80 443 的话：

ufw allow 22
ufw allow 80
ufw allow 443
ufw enable

halczy

2014-11-12 01:39:43 +08:00

@mengskysama 可以就这样不管吗? 已经升级到最新了.

@Livid 感谢, 用iptables了. 但是还这些NTP没有消失.

-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP