Pomoc Duza ilosc polaczen, duzy ruch...

[fog]

Witam,
na TS-EC-879U od pewnego czasu zauwazylem duzy ruch:
wykonuje

netstat -n

tcp 0 0 127.0.0.1:58080 127.0.0.1:60947 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60954 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60974 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60936 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60934 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60938 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60993 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60977 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60959 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60995 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60965 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60945 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60939 TIME_WAIT
tcp 0 0 127.0.0.1:60881 127.0.0.1:58080 CLOSE_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60943 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60975 TIME_WAIT
tcp 0 0 127.0.0.1:60882 127.0.0.1:58080 CLOSE_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60992 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60929 TIME_WAIT
tcp 0 0 127.0.0.1:60933 127.0.0.1:58080 CLOSE_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60942 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60950 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60940 TIME_WAIT
tcp 0 0 127.0.0.1:58080 127.0.0.1:60944 TIME_WAIT

oczywiscie takze polaczenia na IP i port 80
duza ilosc polaczen z IP daleki wschod itp...

jakies sugestie...?

pozdrawiam
fog

P.S. kiedys portem administracyjnym byl 58080...

 

[Usunięty użytkownik pigers]

Zbanuj IP spoza PL i masz z głowy.

Pamiętaj że wtedy może nie działać cudo zwane cloudem ...

 

[fog]

pal diabli cloud

wycinam cale klasy typu
212.0.0.0/8
tak swoja droga z jakiej listy
"obcych" klas IP korzystacie...?

ale ciekawi mnie ten ruch na 127...:58080

 

[mariuszsal]

Proszę bardzo

fuser -v 58080/tcp

Stawiam na thttpd
Poza tym, to co wkleiłeś to nie duży ruch a nasłuch twojego serwera na tym porcie. Jakaś usługa to wykorzystuje zapewne, skoro Qnap na tym słucha. Bo z tego co wkleiłeś to jedyne widać połączenia lokalne z localhosta, więc nie do końca rozumiem co ma dać blokada Chińczyków i innych w tym przypadku.

 

[fog]

ciekawym CO nasłuchuje na 58080
;]]]
przecież port administracyjny to niby 8080

 

[mariuszsal]

No podałem ci komendę. U mnie na tym porcie nasłuch prowadzi thttpd
Mądre głowy na forum.qnap.com opisują jak zamknąć ten nasłuch QNAP NAS Community Forum • View topic - admin interface spontaneously changed port?

The 58080 used for thttp as the "inner" server (which is only reachable from the LAN on very early QTS 4.0.x builds) is unrelated to the external port 58080 (just the same port number selected by you and by QNAP). When using the Web browser for talking to the QTS UI on 8080/TCP resp. 443/TCP for SSL the connection i established to two dedicated Apache proxy servers - internally proxying to 58080/tcp thttpd on the local system only.

 

[jaszczur]

Ja ostatnio miałem spory problem u klienta... Zaczeło się, że niby internet nie działa... W końcu doszedłem do tego, że to QNAP łączył się z 10000 komputerów w... Niemczech (sieć Vodaphone) na port telnet (23) i internet siadał. Botnet? Być może. Wyciąłem mu praktycznie cały internet na routerze (oprócz mojego IP z domu ) i sie uspokoił. Być może ma to związek z poprawką zabezpieczeń która wychodziła niedawno (zapomniałem puścić mu wcześniej aktualizację) - warto zaktualizować.