Debian: Rastreios de porta de saída detectados, o que fazer?

0

Recentemente, recebemos um aviso de nossos provedores de servidores que detectaram uma varredura de porta de saída do nosso servidor. Eles verificaram malware ou conta comprometida, mas não encontraram nenhum. Tudo o que eles sugeriram é adicionar a regra IpTables para conexões TCP de saída para 80 & 443.

Mas eu gostaria de saber o que deu errado. Nada em /var/log/auth.log. Eu tenho fail2ban também instalado. Alguma idéia do que devo fazer. Muito obrigado. :-)

Atualizar

tcpdump no intervalo 4000-8000.

tcpdump portrange 4000-8000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:06:45.025204 IP pacific1660.serverprofi24.eu.5142 > static.126.53.251.148.clients.your-server.de.sip: SIP, length: 417
14:06:45.154178 IP pacific1660.serverprofi24.eu.5142 > legion04.delink-server.net.sip: SIP, length: 419
14:06:45.201135 IP pacific1660.serverprofi24.eu.5142 > static.158.53.251.148.clients.your-server.de.sip: SIP, length: 419
14:16:52.536090 IP 5.45.64.228.7835 > static.158.53.251.148.clients.your-server.de.https: Flags [S], seq 1603658319, win 29200, options [mss 1460], length 0
14:22:13.722644 IP scan-11d.shadowserver.org.45417 > legion04.delink-server.net.6379: Flags [S], seq 1826412023, win 65535, length 0
14:22:13.722660 IP legion04.delink-server.net.6379 > scan-11d.shadowserver.org.45417: Flags [R.], seq 0, ack 1826412024, win 0, length 0

O número de seq usado pelo shadowserver.org é tão alto quanto 1826412023 normal? Como eu verifiquei o seu site, eles são para combater o cibercrime.

    
por We are Borg 19.01.2016 / 16:00

1 resposta

1

Você executa um servidor FTP? Se assim for, o "portscan" poderia muito bem ter sido apenas uma sessão de FTP ocupada no "modo ativo" (o que faz com que o servidor faça conexões TCP com portas selecionadas pelo cliente). Embora o FTP tenha sido amplamente utilizado, essa foi provavelmente a causa mais comum de detecções falsas do portscan.

Se não, por favor expanda sua pergunta e inclua alguns detalhes do portscan. Por exemplo, quais portas de destino foram testadas? As tentativas de conexão foram bem sucedidas?

Além disso, se você fornecer acesso à Internet para outras máquinas, o portscan (se fosse um portscan real) pode ter se originado em um desses.

Em vez de (ou além de) usar o tcpdump, recomendo executar um coletor de netflow (como nfdump ) na interface interna (aquele que está voltado para os computadores para os quais você fornece conectividade com a Internet). Os dados do NetFlow são muito mais sucintos que um arquivo tcpdump pcap, facilitando a localização de portscans.

    
por 20.01.2016 / 20:17