Как найти скрытый IP который генерит трафик

Докеры какие-нить установлены?

Вопрос номер раз, свитч управляемый? На нем таблицу посмотреть можно? Вопрос номер два, ты маску не указал, покажи используемую тобой маску, для полноты картины.

На одном серваке поднято несколько IP адресов (на одном физическом интерфейсе). Нормальное дело.

Посмотрите сами и напишите сюда вывод ip a и lsof -i -n -P. Ещё вывод ip link напишите, что бы нам понятней было, что у Вас там с сетевыми интерфейсами.

Контейнеры или виртуалки есть?

Это трафик видно только в PREROUTING nat.

Покажите iptables -t nat -S, пожалуйста.

Маска 24. Контейнеров и виртуалок нету. Эти команды ничего не нашли:

ip a | grep 10.233.12.120

lsof -i -n -P | grep 10.233.12.120

ifconfig -a | grep 10.233.12.120

Сервер физический с Vlan на интерфейсе:

[root@bws ~]#ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000

link/ether 14:58:d0:5f:75:1c brd ff:ff:ff:ff:ff:ff

3: eth0.154@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP

link/ether 14:58:d0:5f:75:1c brd ff:ff:ff:ff:ff:ff

По этому правилу его видно в логе:

[root@bws ~]# iptables -t nat -S

-P PREROUTING ACCEPT

-P INPUT ACCEPT

-P OUTPUT ACCEPT

-P POSTROUTING ACCEPT

-A PREROUTING -d 10.233.12.120/32 -j LOG –log-prefix «Preroute 120:»

И так видно:

tcpdump -s 0 -vvv -A -n -nn -i eth0.154 host 10.233.12.120

Трафик на сервер приходит и уходит(на 10.233.12.120) но не понято как. Роутинга тоже нету

[root@bws bin]# sysctl net.ipv4.ip_forward

net.ipv4.ip_forward = 0

Смотрите на трафик и сопоставляйте это с тем, что крутится на сервере.

По tcpdump на серваке 10.233.12.11 видно что есть обмен с IP 10.233.12.120, но самого этого IP на сервере нигде не видно.

А как tcpdump запускаете? Не с -i any случайно?

Запуск tcpdump на конкретный интерфейс:

tcpdump -n -nn -i eth0.154

Трафик для сервера не характерный да и быть его не может с этого IP.

Может быть это модуль удаленного управления сервером? Никогда не имел с ними дела но они часто присутствуют в серверах.

На сервере есть HP-ilo, но это отдельный IP и интерфейс.

Как можно заблокировать этот трафик ? Через INPUT и FORWARD трафик не проходит.

Наверно остается только с помощью arptables закрыть ответ сервера на arp запрос.

Это трафик видно только в PREROUTING nat

В raw и mangle не видно?

Посмотри список сокетов sudo ss -tuw0p, может есть сокет с этим адресом.

Трафик пропал.

Я так понял что это скорее всего Rootkit. Так как не видно ничего, все спрятано.

Есть ли утилиты обнаружить LKM Rootkit?