我一直在观察我的日志(Ubuntu 9.10 服务器),不知道你们怎么想的,但是我在端口 11370 上收到了来自俄罗斯、罗马尼亚等地的大量流量(我的 iptables 正在记录它。但只是好奇)。
谷歌搜索后发现了以下信息:
http://www.keysigning.org/sks/-似乎使用端口 11370 和 11371
这可能是他们正在扫描的服务吗(我没有运行它)?
ICS 显示:https://isc.incidents.org/port.html?port=11370
只是好奇你们怎么想,是否有人见过这种情况?如果需要,我可以在这里发布我的日志,但它只是来自各种 IP 的 TCP 端口 11370 的丢弃日志。
觉得很奇怪因为那似乎是我反复被攻击的唯一端口(从日志来看)。
如果这对任何人来说都很重要的话,我正在 Linode (VPS) 上运行。
答案1
打开 ( socat -v tcp-l:11370,reuseaddr -) 此端口并观察其内容
或者,将流量重定向到某个地方以使用进行分析iptables。
/* 注意:评论和投票针对的是其他更短的表述 */
答案2
这可能是针对在该服务上运行的服务的一些新的零日漏洞,或者是某种后门程序。结帐http://www.dshield.org/trends.html.考虑向他们提供你的防火墙日志。
如果你在服务器上想要检查某个进程是否正在监听该端口,只需执行
netstat -l -p -d | grep 11370
如果你看到未知的端口号
猫/等/服务|grep 11370
在我的计算机上一片空白。
我认为(如果它仍然可用)Windows 上的 tcpview.exe 可以执行相同的工作。