我一直在看我的日志(Ubuntu 9.10服务器),不知道你们中的任何一个,但我从俄罗斯,罗马尼亚等来源获得大量的stream量。在端口11370(我的iptables logndrop'ing它,但是只是好奇)。
一些Googlesearch显示了这个信息:
http://www.keysigning.org/sks/ – 似乎使用端口11370和11371
这可能是他们正在扫描的服务(我不运行它)?
ICS显示: https : //isc.incidents.org/port.html?port = 11370
只是好奇你们的想法,如果有人以前见过这个? 如果需要的话,我可以在这里发布我的日志,但它只是从各个IP地址的TCP端口11370的日志丢失。
认为这是奇怪的,因为这是唯一的港口似乎反复击中(从日志)。
如果这个问题对我来说,我正在使用Linode(VPS)。
打开( socat -v tcp-l:11370,reuseaddr - )这个端口,看看它是什么
或者,将stream量redirect到某处以使用iptables进行分析。
/ *注:评论和投票是其他,较短的表述* /
也许这是一个新的zeroday利用服务上运行的,或者某种后门老鼠。 结帐http://www.dshield.org/trends.html 。 考虑提供你的防火墙日志给他们。
如果您在服务器上想要检查进程是否在该端口上进行侦听,
netstat -l -p -d | grep 11370
另外如果你看到未知的端口号码
猫/ etc / services | grep 11370
在我的机器上空白。
我认为(如果它仍然可用)Windows上的tcpview.exe做同样的工作。