“TCP Sweep” - O que é isso? Como estou causando isso?

Navegue suas respostas
2

Acabei de receber um e-mail da minha empresa de hospedagem dizendo que estou violando a Política de uso aceitável.

Eles me encaminharam um e-mail de outra empresa reclamando sobre algo relacionado à "varredura TCP da porta 22". Eles incluíram um trecho de seus registros, 

20:29:43  <MY_SERVER_IP>  0.0.0.0        [TCP-SWEEP]
(total=325,dp=22,min=212.1.191.0,max=212.1.191.255,Mar21-20:26:34,Mar21-20:26:34)
(USI-amsxaid01)

Agora, meu conhecimento de servidor é limitado, na melhor das hipóteses, e não tenho absolutamente nenhuma ideia do que é isso ou do que poderia estar causando isso.

Qualquer ajuda seria muito apreciada!

Obrigado

    
por Stephen Melrose 22.03.2010 / 17:08

2 respostas

8

Parece que eles estão dizendo que sua máquina está examinando a porta TCP 22 em outras máquinas. Se você não configurou seu servidor para fazer isso, alguém fez . Sua máquina provavelmente foi comprometida e softwares mal-intencionados de terceiros foram instalados.

Se for esse o caso, é hora de nivelar a máquina, recarregar o sistema operacional e restaurar dados de um bom backup. Você também deve fazer algumas análises para determinar a causa raiz do comprometimento e evitar que isso aconteça no futuro (ou seja, imediatamente após restaurá-lo quando outro zumbi aparecer e o comprometer novamente).

Como uma questão prática, se você não sabe como fazer essas coisas, então você realmente precisa manter os serviços de alguém que faz. Configurar o servidor com a menor quantidade de software instalado, configurado da maneira mais segura possível (privilégio mínimo, sem senhas padrão, recursos / funções desnecessários desabilitados, etc.) e em um agendamento de instalação de patch de segurança regular fará maravilhas para evitar isso tipo de coisa aconteça novamente.

    
por 22.03.2010 / 17:12
1

Peça a um profissional para revisar seu servidor. Você provavelmente terá que reinstalá-lo - porque você tem um kit de root ou algo assim. Normalmente, um servidor não varre. Eu pegaria tudo em que confiava e mataria o servidor com uma nova imagem de instalação - mais rápido que a verificação.

Em seguida, contrate algum administrador para administrar seu servidor. Tenho certeza de que o seu provedor de hospedagem gerenciou as empresas de hospedagem onde elas lidam com a administração.

Sua declaração segue a linha de "A polícia me capturou porque eu estou dirigindo sem licença e basicamente não tenho ideia de como dirigir, o que devo fazer". A execução de um servidor na Internet não é exatamente trivial e "não faz idéia do que é isso" não o ajudará aqui.

Você basicamente está melhor com um servidor gerenciado (se o seu provedor de hospedagem oferecer isso) do que com o qual você pode se enforcar.

    
por 22.03.2010 / 17:12

Tags

Existe algum equivalente Linux ao Yousendit? [fechadas] Qual versão do SQL Server para instalar no Windows Server 2008 R2