在客户现场(包含多台 Windows 机器以及我们的服务器的 LAN)工作时,我注意到某些东西定期尝试通过 TCP 连接到我们服务器的端口 23。
该站点上没有人知道 telnet 是什么,更不用说如何运行它了,所以我大概可以排除人类试图故意 telnet 的可能性。而且,这种情况似乎经常发生,全天候的。
所以问题是,这些尝试是否有任何已知/合法的原因?(例如 Windows 是否正在进行某种网络扫描或类似操作)?或者这是否可能是 LAN 上存在某种恶意软件的迹象?
答案1
目前 Telnet 的合法用途非常少;除非您需要它,否则绝对不应该启用它。
正如 joeqwerty 所说,获取一些有关连接请求来源和实际发生情况的详细信息。
答案2
这是一次实际的连接尝试,还是由于 Telnet 服务正在运行,服务器正在监听端口 23 上的传入连接?
您是否运行过 netstat 或数据包捕获来获取任何详细信息?如果没有,那将是我的下一步。
答案3
如果您观察互联网连接系统上的流量,您会看到自动脚本不断扫描常见的易受攻击的端口(telnet、ssh、ftp、netbios 等),寻找新的目标。
如果您确实有某些东西在监听 telnet 或 ssh 端口,那么您可能会遭遇暴力密码猜测尝试。
不幸的是,这是正常的,看到这种流量通常意味着你注意到了一直存在的东西。
另一方面,如果 telnet 连接来自您的网络内部,您需要追踪它以查看源是否是受感染的系统;您无法清理整个互联网,但您可以清理其中的一小角。