我正在使用专门的服务器托pipe我的项目之一。 我从我的服务器提供商那里收到一封邮件,他们的监控系统发现了一个来自IP地址的networking扫描(或networking攻击)。 他们发给我的Netscan输出就是这样的
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_1 5038 Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_2 5038 Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_3 5038 Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_4 5038 等等……攻击者已经使用了超过200个ip的可能性。
请指导我是什么攻击,我该怎么做才能避免这种攻击。
许多人提前感谢
除非您在端口63624上运行服务,否则通过阅读此日志,您的服务器正在进行端口扫描。 (IE可能已被黑客攻击)你还没有build议你使用的操作系统是什么 – build议这可能会帮助我们弄清楚发生了什么,但是当你在端口63624上telnet到你的服务器时,你会得到任何回应吗?
我这样说的原因是stream量显示从您的服务器到攻击者服务器,通常情况下反向将是预期的。 同样,虽然不是不可能的,但我认为,一个ISP通常会告诉你一个传入的端口扫描是不寻常的,因为它们一直在发生,而且对于它们几乎没有什么可以做的。
你能发布更完整的日志版本吗?