Eu tenho um cliente de hospedagem que está relatando para mim que ele está vendo tentativas de varredura de porta do IP do servidor no qual eu hospedo o site de suas empresas. Não tenho conhecimento de qual programa ele está usando, mas aparentemente o IP primário da empresa está sendo escaneado pela porta 443 (SSL).
Os fragmentos de log que ele enviou correspondem ao log de acesso SSL do site, então este é um programa de monitoramento de falhas, ou o meu servidor está retornando seu IP de volta durante o acesso SSL?
A porta 443 é, na verdade, a porta HTTPS. É comum os hosts permitirem o acesso SSH à porta 443 porque a maioria dos proxies da web da empresa permitirá uma conexão transparente a essa porta e somente a essa porta.
O que você está vendo é alguém tentando obter SSH para a caixa, seja através da porta normal (22) ou através de uma alternativa comumente usada (443).
A) execute uma verificação no seu sistema com o ClamAV para ver se algo fora do comum foi detectado.
B) Execute verificadores de rootkits para ver se eles encontram algo fora do comum.
C) Execute um sniffer de pacotes (tcpdump, wireshark) em seu servidor em questão para ver se há tráfego incomum passando por ele.
D) verifique / tmp, / var / log, etc. para ver se há algum arquivo temporário ou arquivo de log anormal depositado lá.
E) tem algum programa como o tripwire instalado para procurar mudanças incomuns nos arquivos do sistema?
F) Verifique com outros administradores para ver se eles estão fazendo alguma coisa com esse servidor que poderia disparar uma verificação no sistema remoto.
O que exatamente o log SAY está acontecendo? Solicitando um arquivo específico? Apenas pingando isso? Eles estão executando um processo de escuta no 443 que registra o que está acontecendo, ou eles têm um processo legítimo de entregar pedidos nessa porta? Você pode diminuir um pouco (ou eliminar outras possibilidades) observando o que está na solicitação. Além disso, o IP do seu servidor está aparecendo em algum outro lugar em seus registros, como solicitar páginas da Web não SSL ou algo assim?
O seu sistema está digitalizando outras máquinas na sua rede? O IP está aparecendo para atividade incomum em outros registros do servidor?
Você também pode configurar algo como o Snort ou o Honeyd dentro de sua rede para monitoramento contínuo para ver se algo está acontecendo. Meu conselho sobre os verificadores clam e rootkit são apenas meias soluções, pois se o seu sistema estiver comprometido, somente uma verificação offline pode encontrar malware se os binários do sistema forem comprometidos (a menos que você tenha outro servidor da mesma configuração com o qual você possa executar checksums MD5 em determinados binários para ver se eles foram adulterados).
Eu apostaria que as tentativas estão vindo de um navegador da Web.
Ele está interpretando mal o que está vendo em seus registros do firewall.
Veja o que está acontecendo:
Como seu firewall parou de rastrear a conexão, esse último pacote é visto como uma nova conexão , o que não é .
Isso está acontecendo muito com ele, possivelmente centenas ou milhares de vezes por dia / hora / minuto. Ele ou seu IDS está detectando incorretamente isso como uma varredura de porta, tudo com a porta de origem 443.