在客户端(包括多台Windows机器的局域网,以及我们的服务器)工作时,我注意到有些东西是通过TCP在端口23上定期尝试连接到我们的服务器的。
没有人知道telnet是什么东西,更不用说怎么运行了,所以我可以排除一个试图故意telnet的人。再加上它看起来是在24小时内定期发生的。
所以问题是,这些尝试是否有任何已知的/正当的理由发生? (例如,Windows做某种networking扫描或什么)? 或者这可能是LAN上存在某种恶意软件的迹象?
目前Telnet的合法用途非常less, 除非您需要,否则绝对不应该启用它。
正如joeqwerty所说,了解连接请求的来源以及实际发生的情况。
是一个实际的连接尝试还是服务器侦听端口23传入连接,因为Telnet服务正在运行?
你运行了一个netstat或数据包捕获来获取任何细节? 如果没有,那将是我的下一步。
如果您在互联网连接的系统上观看stream量,您将看到通过自动化脚本寻找新目标的常见易受攻击端口(telnet,ssh,ftp,netbios等)的持续扫描。
如果你真的有东西在telnet或SSH端口上听,那么你可以期望用暴力猜测密码尝试。
不幸的是,这是正常的,看到这种交通通常意味着你已经注意到一直在那里的东西。
另一方面,如果telnet连接来自你的networking,你需要跟踪下来,看看源是否是一个受感染的系统; 你不能清理整个互联网,但你可以清理你的小angular落。