Enquanto trabalhava em um site do cliente (uma LAN que inclui várias máquinas Windows, além do nosso servidor), percebi que algo estava tentando conectar-se periodicamente ao nosso servidor na porta 23 via TCP.
Ninguém nesse site sabe o que é telnet, e muito menos como executá-lo, então eu provavelmente posso descartar um ser humano tentando deliberadamente fazer telnet. Além disso, ele parece acontecer regularmente, 24 horas por dia. / p>
Então a questão é, existe alguma razão conhecida / legítima para essas tentativas ocorrerem? (por exemplo, o Windows está fazendo algum tipo de varredura de rede ou algo assim)? Ou é provável que seja um sinal da presença de algum tipo de malware na LAN?
Atualmente, existem poucos usos legítimos do Telnet; definitivamente não é algo que deve ser ativado a menos que você precise.
Como diz joeqwerty, obtenha alguns detalhes de onde as solicitações de conexão estão vindo e o que está realmente acontecendo.
Foi uma tentativa real de conexão ou foi o servidor escutando na porta 23 por conexões de entrada porque o serviço Telnet está sendo executado?
Você executou um netstat ou uma captura de pacotes para obter mais detalhes? Se não, esse seria meu próximo passo.
Se você observar o tráfego em um sistema conectado à Internet, verá verificações constantes de portas comumente vulneráveis (telnet, ssh, ftp, netbios etc.) por meio de scripts automatizados que procuram novos destinos.
Se você realmente tem algo escutando em telnet ou portas ssh, então você pode esperar ser atingido por tentativas de adivinhação de senha de força bruta.
Isso é normal, infelizmente, e ver esse tipo de tráfego normalmente significa que você percebeu algo que sempre esteve presente.
Por outro lado, se as conexões de telnet vierem da sua rede, você precisará rastrear isso para ver se a fonte é um sistema infectado; você não pode limpar toda a internet, mas você pode limpar seu cantinho.