我刚刚收到托管公司的一封电子邮件,告知我违反了他们的可接受使用政策。
他们转发了另一家公司的电子邮件给我,抱怨与“TCP 端口 22 扫描”有关的事情。他们附上了他们日志中的一段代码,
20:29:43 <MY_SERVER_IP> 0.0.0.0 [TCP-SWEEP]
(total=325,dp=22,min=212.1.191.0,max=212.1.191.255,Mar21-20:26:34,Mar21-20:26:34)
(USI-amsxaid01)
现在,我对服务器的了解非常有限,我完全不知道这是什么或者是什么原因造成的。
任何帮助将不胜感激!
谢谢
答案1
听起来好像是说你的机器正在扫描其他机器上的 TCP 端口 22。如果你没有将服务器配置为执行此操作,那么其他人做过。您的机器可能已被入侵,并安装了恶意的第三方软件。
如果是这种情况,是时候让机器恢复正常,重新加载操作系统,并从良好的备份中恢复数据。您还应该进行一些分析,以确定入侵的根本原因,并防止将来再次发生这种情况(即,在您恢复后立即发生另一台僵尸计算机再次入侵)。
实际上,如果您不知道如何做这些事情,那么您确实需要聘请会做这些事情的人。为您的服务器配置最少的软件,以最安全的方式进行配置(最小权限、无默认密码、禁用不必要的功能等),并定期安装安全补丁,这将有效防止此类事情再次发生。
答案2
找专业人士检查你的服务器。你可能需要重新安装它——因为你得到了一个 root 工具包或类似的东西。通常服务器不会扫描。我会删除我信任的所有内容,然后用新的安装映像关闭服务器——比检查更快。
然后聘请一些管理员来管理您的服务器。我相信您的托管服务提供商已经管理了托管服务器,由他们负责管理。
您的陈述大致是“警察抓捕我是因为我无证驾驶,而且我根本不知道怎么开车,我该怎么办”。在互联网上运行服务器并不是一件小事,“不知道这是什么”在这里对您没有帮助。
基本上,使用托管服务器(如果您的托管服务提供商提供托管服务器)比使用您可以自行挂起的服务器要好。