Недавно мы получили уведомление от наших Сервер-провайдеров, что они обнаружили сканирование исходящих портов с нашего Сервера. Они проверили наличие вредоносного ПО или взломанного аккаунта, но не нашли ни одного. Все, что они предложили, это добавить правило IpTables для исходящих TCP-соединений для 80 и 443.

Но я хотел бы знать, что пошло не так. Ничего в /var/log/auth.log. У меня также установлен fail2ban. Любые идеи, что я должен делать. Большое спасибо. :-)

Обновить

tcpdump на диапазон 4000-8000. 

tcpdump portrange 4000-8000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:06:45.025204 IP pacific1660.serverprofi24.eu.5142 > static.126.53.251.148.clients.your-server.de.sip: SIP, length: 417
14:06:45.154178 IP pacific1660.serverprofi24.eu.5142 > legion04.delink-server.net.sip: SIP, length: 419
14:06:45.201135 IP pacific1660.serverprofi24.eu.5142 > static.158.53.251.148.clients.your-server.de.sip: SIP, length: 419
14:16:52.536090 IP 5.45.64.228.7835 > static.158.53.251.148.clients.your-server.de.https: Flags [S], seq 1603658319, win 29200, options [mss 1460], length 0
14:22:13.722644 IP scan-11d.shadowserver.org.45417 > legion04.delink-server.net.6379: Flags [S], seq 1826412023, win 65535, length 0
14:22:13.722660 IP legion04.delink-server.net.6379 > scan-11d.shadowserver.org.45417: Flags [R.], seq 0, ack 1826412024, win 0, length 0

Является ли число seq, используемое shadowserver.org, таким высоким, как 1826412023 как обычно? Когда я проверил их сайт, они за борьбу с киберпреступностью.

|источник

1 ответ1

1

Вы используете FTP-сервер? Если это так, то "сканирование портов" вполне могло бы быть просто занятым сеансом FTP в "активном режиме" (что заставляет сервер устанавливать TCP-соединения с портами, выбранными клиентом). Хотя FTP широко использовался, это, вероятно, было единственной наиболее распространенной причиной ложных обнаружений сканирования портов.

Если нет, пожалуйста, расширьте свой вопрос и включите некоторые подробности о порт-канале. Например, какие порты назначения были протестированы? Были ли попытки подключения успешны?

Кроме того, если вы предоставляете доступ в Интернет к другим машинам, сканирование портов (если это было настоящее сканирование портов) может происходить на одном из них.

Вместо (или в дополнение к) использования tcpdump я бы рекомендовал запускать сборщик сетевых потоков (например, nfdump) на внутреннем интерфейсе (тот, который связан с компьютерами, к которым вы подключаетесь к Интернету). Данные NetFlow намного более лаконичны, чем файл tcpdump pcap, что упрощает поиск в них порт-сканов.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .