奇妙な新しいルールがiptables設定に追加されました...サーバーはハッキングされましたか?
今日、私は定期的なチェックのために自分のiptablesをリストしました-自分で設定した覚えのない2つの奇妙なUFWルールを発見しました。
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
これはちょっと怖いです。誰かが私のサーバーにハッキングしてこれらのルールを追加することができましたか?そうでない場合、何が起こりましたか?
(もし悪意のあるエージェントが私のファイアウォールに侵入した場合、なぜ彼らは私のルーターによって転送されていないポート5353と1900を使うのでしょうか?)
引用man ufw:
NOTES
On installation, ufw is disabled with a default incoming policy of
deny, a default forward policy of deny, and a default outgoing policy
of allow, with stateful tracking for NEW connections for incoming and
forwarded connections. In addition to the above, a default ruleset is
put in place that does the following:
[ ... ]
- ACCEPT mDNS (zeroconf/bonjour/avahi 224.0.0.251 for IPv4 and ff02::fb
for IPv6) for service discovery (INPUT)
- ACCEPT UPnP (239.255.255.250 for IPv4 and ff02::f for IPv6) for ser‐
vice discovery (INPUT)
したがって、これらの2つのルールはufwのデフォルト設定の一部であり、mDNSおよびUPnPサービスが機能することを許可します。
グーグル氏によると、これらのIPアドレスは、Simple Service Discovery Protocol(SSDP)/ uPnPおよびiTunesに関連しています。したがって、これらのルールは、インストールしたソフトウェアに関連し、LAN上の情報の共有に関連している可能性があります。 whoisはどちらのIPについても情報を返しません。
見る
https://stackoverflow.com/questions/12483717/what-is-the-multicast-doing-on-224-0-0-251
そして