我有一个托pipe客户端向我报告,他正在从我托pipe他的公司网站的服务器的IP上看到端口扫描尝试。 我不知道他正在使用什么程序,但显然公司的主要IP正在通过端口443(SSL)进行端口扫描。
他发送的日志片段与网站的SSL访问日志相匹配,所以这是一个故障监控程序,还是我的服务器在SSL访问期间ping回他们的IP?
端口443实际上是HTTPS端口。 主机通常允许SSH访问端口443,因为大多数公司的Web代理将允许透明的连接到这个端口,并且只允许这个端口。
你所看到的是有人试图通过正常的端口(22)或通常使用的替代方法(443)获得SSH的方法。
A)用ClamAV检查你的系统,看是否检测到exception情况。
B)运行rootkit检查器,看看他们是否能find任何不寻常的东西。
C)在你的服务器上运行一个包嗅探器(tcpdump,wireshark)来查看是否有不寻常的stream量通过它。
D)检查/ tmp,/ var / log等,看是否有任何exception临时文件或日志文件存放在那里。
E)碰巧安装了tripwire之类的程序来查找系统文件的exception变化?
F)与其他pipe理员核对,看看他们是否已经在服务器上做了一些可能触发远程系统检查的事情。
日志SAY究竟发生了什么? 请求一个特定的文件? 只是pinging它? 他们是在443上运行一个监听过程来logging正在发生的事情,还是他们有一个合法的stream程来处理这个端口上的请求? 您可以通过查看请求中的内容来缩小一点(或消除其他可能性)。 此外,你的服务器的IP显示在其他日志的其他地方,如要求非SSL网页或类似的东西?
您的系统是否正在扫描networking中的其他机器 ? IP是否显示其他服务器日志中的exception活动?
您也可以在您的networking中设置类似Snort或Honeyd的内容,以便继续进行监控,以查看是否发生了某些事情。 我对clam和rootkit检查程序的build议只是一半的解决scheme,因为如果系统遭到入侵,只有在系统二进制文件被入侵的情况下,离线检查才会真正发现恶意软件(除非您有另一台可以运行相同configuration的服务器MD5校验和某些二进制文件,看看他们是否被篡改)。
您可以使用nmap( http://nmap.org/ )运行完整的端口扫描。 它有一个称为Zenmap GUI的GUI( http://nmap.org/zenmap/ )。
它是那里最好的安全扫描仪之一。
我敢打赌,这些尝试来自networking浏览器。
他误解了他在防火墙日志中看到的内容。
以下是正在发生的事情:
因为他的防火墙以某种方式停止跟踪连接,所以你的最后一个数据包被视为一个新的连接 ,事实并非如此 。
这对他来说是很重要的,可能是每天/每小时/分钟数百或数千次。 他或他的IDS错误地将其检测为端口扫描,全部与源端口443。