我正在为我的一个项目使用专用服务器托管。我收到服务器提供商的一封邮件,说他们的监控系统注意到来自某个 IP 地址的网络扫描(或网络攻击)。他们发送给我的 Netscan 输出如下
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_1 5038
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_2 5038
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_3 5038
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_4 5038
等等……攻击者使用了多个 IP,可能超过 200 个 IP。
请告诉我攻击是什么,我应该怎么做才能避免这种攻击。
提前致谢
答案1
除非您正在端口 63624 上运行服务,否则根据我对此日志的阅读,是您的服务器正在进行端口扫描。(即它可能已被黑客入侵)您没有告知您使用的操作系统 - 告知这一点可能有助于我们弄清楚发生了什么,但是当您通过端口 63624 远程登录到您的服务器时,您是否收到任何响应?
我之所以这么说,是因为流量显示为从您的服务器流向攻击者的服务器,而通常情况是相反的。同样,虽然并非不可能,但我认为 ISP 通知您传入端口扫描的情况并不常见,因为这种情况总是发生,而且我们几乎无能为力。
您能发布更完整版本的日志吗?