我刚刚收到托管公司发来的一封电子邮件:
“您好,AT&T 托管和应用服务部。我是一名安全工程师,正在尝试追踪一起安全事件,该事件似乎于 2011 年 5 月 3 日源自您的网络。请调查来自 IP xx.xx.xxx.xx 的端口 3072 的 TCP 扫描,并告知我结果(帐户已取消、用户已警告等)。我需要这些信息来关闭此活动的票据。我已附上部分日志详细信息作为证据。所有时间均为美国东部夏令时间 (GMT -4)。
(注意:这是对传入的扫描/攻击的自动电子邮件响应。)
18:53:39 xx.xx.xxx.xx 0.0.0.0 [TCP-SWEEP] (total=19,dp=3072,min=213.244.176.12,max=212.1.188.120,May03-17:34:49,May03- 17:43:38) (USI-amsxaid01) 18:53:39 xx.xx.xxx.xx 0.0.0.0 [TCP-SWEEP] (total=23,dp=1024,min=212.1.191.8,max=212.1.187.114,May03-17:35:14,May03-17: 43:40) (USI-amsxaid01) “
我用“ x ”替换 ip
答案1
这是他们通知您,发现通知中列出的 IP 地址正在对端口 TCP/3072 进行端口扫描。一旦您确定了导致此可疑行为的原因,请通知他们,以便他们可以关闭安全票。