我有一个托管客户,他向我报告说,他看到我托管其公司网站的服务器 IP 尝试进行端口扫描。我不知道他使用的是什么程序,但显然该公司的主要 IP 正在通过端口 443(SSL)进行端口扫描。
他发送的日志片段与站点的 SSL 访问日志相匹配,那么这是一个故障监控程序,还是我的服务器在 SSL 访问期间 ping 他们的 IP?
答案1
端口 443 实际上是 HTTPS 端口。主机允许 SSH 访问端口 443 是很常见的,因为大多数公司的 Web 代理都允许与此端口建立透明连接,而且只允许与此端口建立透明连接。
您所看到的是有人试图通过正常端口 (22) 或常用替代端口 (443) 获取到该盒子的 SSH。
答案2
A)使用 ClamAV 检查您的系统,看是否检测到任何异常。
B) 运行rootkit检查程序,看看是否发现任何异常。
C) 在相关服务器上运行数据包嗅探器(tcpdump、wireshark)以查看是否有异常流量通过。
D) 检查 /tmp、/var/log 等,看是否有任何不寻常的临时文件或日志文件存放在那里。
E) 是否安装了类似 tripwire 的任何程序来查找系统文件的异常变化?
F) 与其他管理员核实,看他们是否对该服务器进行了某些操作,从而触发对远程系统的检查。
日志究竟说发生了什么?请求特定文件?只是 ping 它?他们是否在 443 上运行监听进程来记录正在发生的事情,或者他们是否有合法进程处理该端口上的请求?您可以通过查看请求中的内容来缩小范围(或排除其他可能性)。此外,您的服务器的 IP 是否出现在他们的日志中的其他地方,例如请求非 SSL 网页或类似内容?
你的系统是否正在扫描其他机器在您的网络中?其他服务器的日志中是否显示 IP 有异常活动?
您还可以在网络中设置类似 Snort 或 Honeyd 的程序,以便持续监控是否发生问题。我对 clam 和 rootkit 检查器的建议只是半解决方案,因为如果您的系统受到威胁,只有离线检查才能在系统二进制文件受到威胁的情况下真正发现恶意软件(除非您有另一台相同配置的服务器,您可以针对该服务器对某些二进制文件运行 md5 校验和以查看它们是否被篡改)。
答案3
您可以使用 nmap 运行完整端口扫描(http://nmap.org/)它有一个名为 Zenmap GUI 的 GUI(http://nmap.org/zenmap/)。
它是最好的安全扫描仪之一。
答案4
他误解了防火墙日志中看到的内容。
以下是具体情况:
- 从他那边到你建立连接,从随机端口到端口 443。
- 数据已传递。
- 他的防火墙不知为何停止跟踪连接。
- 会话仍然处于活动状态,你方发送一个数据包这一持续联系的一部分。
- 他的防火墙错误地认为这是一个没有来自你的 SYN 的新连接,源端口 443 目标端口此连接最初使用的同一端口。
因为他的防火墙不知何故停止跟踪连接,所以来自你的最后一个数据包被视为新连接,其中不是。
这种情况经常发生在他身上,每天/每小时/分钟可能出现数百或数千次。他或他的 IDS 错误地将此检测为端口扫描,所有源端口均为 443。