服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Linux Centos上的端口扫描临时块
Intereting Posts
试图在Centos 6.7上安装MySQL,依赖关系问题 Mysql服务拒绝启动 如何在Centos 7.4上禁用Selinux Microsoft Azure AD Connect – 可信域的密码同步 让我们用DNSredirect来encryptionLAN上的证书? Postfix有时会在SMTP连接时被拒绝连接 有什么select注册一个域的URL转发,没有别的? 有没有简单的方法远程使用Hyper-Vpipe理器? 远程用户无法使用Exchange 2010 OWA进行发送 无法从主机访问mysql docker容器 SSL证书没有显示正确的值? “SomeCity”,“SomeState” 备份虚拟机中的Windows许可 VirtualBox Fedora主机Windows访客networking和文件夹别名 Squid仅logging特定请求的NTLM用户名 HAProxy使用查询参数覆盖后端cookie

Linux Centos上的端口扫描临时块

我正在运行VPS服务器(Linux CentOS)为我的客户提供虚拟主机。

昨天,我的一个客户被我的服务器上的LFD防火墙挡住了:

我有一个服务器pipe理员电子邮件通知与以下主题行: 

lfd on vps.audetwebhosting.net: 24.2.190.167 (US/United States/c-24-2-190-167.hsd1.ct.comcast.net) blocked for port scanning

和身体包含线如: 

 Time: Sun Mar 31 11:29:35 2013 -0400 IP: 24.2.190.167 (US/United States/c-24-2-190-167.hsd1.ct.comcast.net) Hits: 11 Blocked: Temporary Block Sample of block hits: Mar 31 11:28:22 vps kernel: [2760494.944535] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=24.2.190.167 DST=64.131.66.177 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=14772 DF PROTO=TCP SPT=50780 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0 Mar 31 11:28:23 vps kernel: [2760496.050542] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=24.2.190.167 DST=64.131.66.177 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=28408 DF PROTO=TCP SPT=50780 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0

我的客户并不是那些精通技术的人,所以我不认为他们会随便在Mac笔记本电脑上运行端口扫描。

我猜猜可能发生了什么事情:

(1)客户端笔记本电脑有一个正在进行端口扫描的病毒

(2)客户端打开控制台窗口,试图ping他们的网站

(3)有些黑客正蹲在cleint WiFi连接上

(4)客户访问了一个网站,有一些网站的应用程序进行端口扫描

(5)客户端有一些可能正在进行端口扫描的防火墙/反恶意软件

(6)客户端有一个扫描端口的路由器

我想知道,有人可能无意中触发了来自防火墙的端口扫描types的响应?

我是一个networking程序员,而不是一个Linux大师,所以我甚至不知道如何最好地问这个问题。 感谢您的耐心等待。

LFD是CSF防火墙的“login失败守护程序”,它会阻止login尝试失败的IP。 从http://www.configserver.com/cp/csf.html

To complement the ConfigServer Firewall (csf), we have developed a Login Failure Daemon (lfd) process that runs all the time and periodically (every X seconds) scans the latest log file entries for login attempts against your server that continually fail within a short period of time. Such attempts are often called "Brute-force attacks" and the daemon process responds very quickly to such patterns and blocks offending IP's quickly. Other similar products run every x minutes via cron and as such often miss break-in attempts until after they've finished, our daemon eliminates such long waits and makes it much more effective at performing its task.

从您的电子邮件通知: 

 DPT=587 DPT=587

只要LFD没有指定其他目标端口,这似乎不是一个端口扫描。 端口587是SMTP邮件提交端口。 他似乎试图login到您的SMTP,但login失败,并且由于login尝试失败,LFD阻止了他的IP。 也许这是由他的电子邮件客户端指定的错误密码造成的。

有一些select不太可能:

(2)Ping不被视为端口扫描。 有一些pipe理员喜欢configuration他们的机器来完全忽略ping,但是没有我知道的防火墙认为ping是端口扫描。

(4)Web应用程序执行端口扫描,但只扫描使用应用程序的主机,以便向其报告有关此防火墙的状态。 我不认为任何networking应用程序将允许一个预制不同目的地的端口扫描。

(5)我没有防火墙知道在安装的机器以外的机器上执行端口扫描。

(6)路由器也一样。

。 在进行任何技术分析之前,最好的办法可能是询问客户他做了什么。 他可能已经阅读了关于nmap的教程,并决定检查你的服务器。 如果他不知道什么可能会引起防火墙的反应,那么他应该是检查笔记本电脑和networking安全的人。 在我看来,在服务器端可以做的最好的事情是运行一个networking嗅探工具(比如tshark ),但是通过这样做,唯一可以获得的附加信息是正确扫描的端口。 您的防火墙日志中已经有了滥用IP地址的情况,但您无法从中判断客户端是自己做的,计算机上是否有病毒,还是来自同一内部networking的其他人。