¿Por qué Ubuntu realiza solicitudes a estas IP de Amazon EC2 en el inicio?

El gnome-software procesa a los contactos 54.173.79.111 para fines de actualización, como se sugiere en este hilo del foro . No hay nada intrínsecamente dudoso acerca de estas IP, ambas pertenecen a la nube de AWS.

Dicho esto, no se puede garantizar que el tráfico sea legítimo con solo mirar las IP. Esto se debe a que solo indican que se está comunicando con el servicio alojado en la nube de Amazon (y aparentemente se está ejecutando en Red Hat OpenShift ).

$ dig +short -x 54.173.79.111                                                                                                           
ec2-54-173-79-111.compute-1.amazonaws.com.
$ dig +short -x 54.231.40.234
s3-1.amazonaws.com.

(También hay una lista mantenida de AWS Rangos de IP donde puede buscar las direcciones.)

La razón por la que eso no verifica nada es que 54.173.79.111 está asociado con más de una instancia de EC2. Por ejemplo, hospitalpadreze.org.br y subverticathegame.com también se resuelven en esa misma dirección:

$ dig +short hospitalpadreze.org.br                                                                                                     
54.173.79.111
$ dig +short subverticathegame.com                                                                                                  130 
sub-renderedturkey.rhcloud.com.
ex-std-node683.prod.rhcloud.com.
ec2-54-173-79-111.compute-1.amazonaws.com.
54.173.79.111

La verificación del CN del certificado SSL en 54.173.79.111:443 , según lo propuesto por @ thel3l, tampoco es una técnica confiable. No sabemos si realmente se estaba conectando a través de SSL, sobre qué puertos y para qué nombre de host. Aquí hay una demostración de cómo se sirven los diferentes certificados en la misma IP:

$ openssl s_client -connect 54.173.79.111:443 -brief
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES256-GCM-SHA384
Peer certificate: C = US, ST = North Carolina, L = Raleigh, O = Red Hat Inc., CN = *.rhcloud.com
Hash used: SHA512
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Server Temp Key: ECDH, P-256, 256 bits

El certificado es válido para *.rhcloud.com . Ahora probemos con un nombre de host diferente:

$ openssl s_client-connect 54.173.79.111:443 -servername www.cristiansandu.ro -brief
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES256-GCM-SHA384
Peer certificate: CN = www.cristiansandu.ro
Hash used: SHA512
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Server Temp Key: ECDH, P-256, 256 bits

En su lugar, estamos obteniendo un certificado para www.cristiansandu.ro , aunque sigue siendo la misma IP. Con la indicación de nombre del servidor (SNI) se espera que el certificado presentado no se mantenga igual si especifica un -servername diferente.

tl; dr : No hay nada de qué preocuparse.

Eliminando solo los datos que nos ha proporcionado aquí, es probable que solo sea el software Gnome realizando llamadas de actualización. No debería haber nada de qué preocuparse.

Aquí hay un desglose:

• netstat -atlp y un grep para esa IP me muestran que mi sistema se está conectando a un 54.173.79.111 en el puerto 443

• La salida de PID / Programa para este comando se llama a sí misma gnome-software . Sorteo muerto.

La salida real:

tcp        0      0 ipaddr:53044      54.173.79.111:443       ESTABLISHED 2709/gnome-software

Además, visite enlace (la IP que nos dio, de lo contrario enlace ) y el examen del certificado me muestra que se emitió a * .rhcloud.com - Redhat Cloud - y en este punto estoy casi seguro que es un servicio de actualización.