我的 Web 服务器运行的是 Ubuntu 12.04.2 LTS,并安装了所有安全更新。它用作 Web 代理服务器,处理 HTTP/80 HTTPS/443 上的传入请求,但也使用 HTTP/HTTPS 连接从其他服务器检索 Web 内容。该服务器还使用 HTML5 WebSocket 连接向客户端用户发送实时更新。
我收到了三个不同家庭用户的通知,称我的服务器据称对他们的 IP 地址进行了端口扫描。不幸的是,我只知道据称的端口扫描的日期和时间,但不知道目标 IP 或端口。此外,我不确定这些是误报还是我的服务器确实受到了攻击。
到目前为止,我已经使用“netstat -anltp”进行了初步分析,以检查是否存在任何可疑流量。检查时一切似乎都很好,因为只有 HTTP 连接。此外,我还执行了“ps aux”以列出所有正在运行的进程,但我不得不承认,此时我有点迷失了方向。
可以执行哪些进一步的步骤来检测可疑流量?应该检查哪些日志文件?应该启用哪些日志来检测未来可疑的传出流量?哪些第三方工具可以检测进一步的传出端口扫描?
答案1
可以检测传出端口扫描的工具是 tcpdump。运行tcpdump -i eth0 -w dump后,请保持冷静,读取与这些日期发送的数据包相匹配的转储详细信息。
如果是静态的,也请询问用户他们的 IP。
查看/var/log/auth.log是否last -100有人滥用了您的系统,检查可疑的 cron 作业,查看 /root 目录是否出现异常。在这些情况下,使用哈希化系统文件的工具(如 tripwire)非常重要。