奇怪的 snmpd 流量
Strange snmpd traffic
我的 snmp 服务器使用了 CPU 的 3% 和大约 600 kbit/s 的带宽。
使用 "iftop" 我的服务器正在通过 HTTP 端口向未知 IP 发送数据,但目标 IP 未 ping 并且没有打开 HTTP 端口。
myhostname.com.br:snmp => 144.168.68.43:http 520Kb 487Kb 487Kb
<= 40.2Kb 37.6Kb 37.6Kb
所有默认值(snmpd.conf),我只是用它来本地MRTG。
它是 OpenVZ 下的 CentOS 7。有什么想法吗?
这些是 notifications/traps 还是对 Get 请求的响应?
回应
有人在轮询您的 SNMP 服务,就这么简单。
如果您不希望他们这样做,请将他们(或它)关闭。
public 服务被随机的陌生人轮询是很常见的,有时是自动探测的结果,但有时是出于明确的恶意目的。这就是我们拥有防火墙的原因。
ICMP ping 和 HTTP 都与它无关; SNMP 响应发送到与请求相同的地址(IP 和端口)——端口的选择实际上是任意的,但似乎发起者特别决定使用端口 80,因为这通常是一个开放端口,并且确实没有引起太多关注。坦率地说,这本身就很可疑,因为除非有奇怪的技术限制,否则可靠且授权的 SNMP 管理器会使用更常规地分配给 SNMP 流量的端口(如 UDP 162)。
陷阱(通知)
如果没有证据表明传入请求触发了此流量,则表明您的 SNMP 代理正在自行执行此操作。您是否将其配置为这样做?如果不是,则您可能已被黑客入侵,而其他人却以这种方式配置了它。
你仍然可以用防火墙关闭它(防火墙是双向的!)虽然你真的应该检查发生了什么。
否则
如果没有传入请求,并且您的 SNMP 管理器未配置为向 144.168.68.43 发送通知,那么您是否有另一个 您不知道的 SNMP 管理器?您安装的某些支持 SNMP 的软件?不然你就麻烦了。
我想我找到了问题所在。此 IP 与 MIB 相关,正在从无法访问的 IP 中读取内容。
如果我阻止它 (iptables),"journal" 开始每 2-3 秒记录一次:
Nov 19 10:33:44 loki snmpd[18942]: send response: Failure in sendto
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysDescr.0
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysORDescr.1
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysObjectID.0
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysORDescr.2
Nov 19 10:33:44 loki snmpd[18942]: -- DISMAN-EVENT-MIB::sysUpTimeInstance
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysORDescr.3
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysContact.0
(....)
我只是不知道如何修复...至少,服务器没有受到损害。
我的 snmp 服务器使用了 CPU 的 3% 和大约 600 kbit/s 的带宽。
使用 "iftop" 我的服务器正在通过 HTTP 端口向未知 IP 发送数据,但目标 IP 未 ping 并且没有打开 HTTP 端口。
myhostname.com.br:snmp => 144.168.68.43:http 520Kb 487Kb 487Kb
<= 40.2Kb 37.6Kb 37.6Kb
所有默认值(snmpd.conf),我只是用它来本地MRTG。
它是 OpenVZ 下的 CentOS 7。有什么想法吗?
这些是 notifications/traps 还是对 Get 请求的响应?
回应
有人在轮询您的 SNMP 服务,就这么简单。
如果您不希望他们这样做,请将他们(或它)关闭。
public 服务被随机的陌生人轮询是很常见的,有时是自动探测的结果,但有时是出于明确的恶意目的。这就是我们拥有防火墙的原因。
ICMP ping 和 HTTP 都与它无关; SNMP 响应发送到与请求相同的地址(IP 和端口)——端口的选择实际上是任意的,但似乎发起者特别决定使用端口 80,因为这通常是一个开放端口,并且确实没有引起太多关注。坦率地说,这本身就很可疑,因为除非有奇怪的技术限制,否则可靠且授权的 SNMP 管理器会使用更常规地分配给 SNMP 流量的端口(如 UDP 162)。
陷阱(通知)
如果没有证据表明传入请求触发了此流量,则表明您的 SNMP 代理正在自行执行此操作。您是否将其配置为这样做?如果不是,则您可能已被黑客入侵,而其他人却以这种方式配置了它。
你仍然可以用防火墙关闭它(防火墙是双向的!)虽然你真的应该检查发生了什么。
否则
如果没有传入请求,并且您的 SNMP 管理器未配置为向 144.168.68.43 发送通知,那么您是否有另一个 您不知道的 SNMP 管理器?您安装的某些支持 SNMP 的软件?不然你就麻烦了。
我想我找到了问题所在。此 IP 与 MIB 相关,正在从无法访问的 IP 中读取内容。
如果我阻止它 (iptables),"journal" 开始每 2-3 秒记录一次:
Nov 19 10:33:44 loki snmpd[18942]: send response: Failure in sendto
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysDescr.0
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysORDescr.1
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysObjectID.0
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysORDescr.2
Nov 19 10:33:44 loki snmpd[18942]: -- DISMAN-EVENT-MIB::sysUpTimeInstance
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysORDescr.3
Nov 19 10:33:44 loki snmpd[18942]: -- SNMPv2-MIB::sysContact.0
(....)
我只是不知道如何修复...至少,服务器没有受到损害。