我们最近收到服务器提供商的通知,称他们检测到了来自我们服务器的传出端口扫描。他们检查了恶意软件或被盗账户,但一无所获。他们建议的只是为 80 和 443 的传出 TCP 连接添加 IpTables 规则。
但我想知道哪里出了问题。/var/log/auth.log 中没有任何内容。我还安装了 fail2ban。有什么想法我应该怎么做吗?非常感谢。:-)
更新
tcpdump 范围为 4000-8000。
tcpdump portrange 4000-8000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:06:45.025204 IP pacific1660.serverprofi24.eu.5142 > static.126.53.251.148.clients.your-server.de.sip: SIP, length: 417
14:06:45.154178 IP pacific1660.serverprofi24.eu.5142 > legion04.delink-server.net.sip: SIP, length: 419
14:06:45.201135 IP pacific1660.serverprofi24.eu.5142 > static.158.53.251.148.clients.your-server.de.sip: SIP, length: 419
14:16:52.536090 IP 5.45.64.228.7835 > static.158.53.251.148.clients.your-server.de.https: Flags [S], seq 1603658319, win 29200, options [mss 1460], length 0
14:22:13.722644 IP scan-11d.shadowserver.org.45417 > legion04.delink-server.net.6379: Flags [S], seq 1826412023, win 65535, length 0
14:22:13.722660 IP legion04.delink-server.net.6379 > scan-11d.shadowserver.org.45417: Flags [R.], seq 0, ack 1826412024, win 0, length 0
shadowserver.org 使用的序列号是否正常1826412023?我查看了他们的网站,发现他们是为了打击网络犯罪。
答案1
您是否运行 FTP 服务器?如果是,则“端口扫描”很可能只是处于“主动模式”的繁忙 FTP 会话(这会导致服务器与客户端选择的端口建立 TCP 连接)。虽然 FTP 被广泛使用,但这可能是错误端口扫描检测的最常见原因。
如果没有,请扩展您的问题并包含一些端口扫描的详细信息。例如,测试了哪些目标端口?连接尝试是否成功?
另外,如果您向其他机器提供 Internet 访问,则端口扫描(如果是真正的端口扫描)可能源自其中一台机器。
除了使用 tcpdump 之外,我建议nfdump在内部接口(面向您提供 Internet 连接的计算机的接口)上运行 netflow 收集器(例如)。NetFlow 数据比 tcpdump pcap 文件简洁得多,因此更容易在其中找到端口扫描。