Parar saída SYN Scan

Navegue suas respostas
1

Olá, eu gerencio uma empresa de VPN e, recentemente, meu host me enviou essas reclamações que provavelmente são provenientes de um usuário.

Não sei ao certo como identificar o usuário. Se eu pudesse fazer isso, não precisaria usar o firewall para proibi-lo.

ou

Como faço para impedir que isso aconteça, tentei o google e tudo o que há absolutamente zero recursos para isso.

Aqui está o e-mail que recebi do meu host 

    Dear Customer,

Abnormal activity has been detected on your VPS.


Please do not hesitate to contact our technical support team so that this situation does not become critical.

You will find the logs brought up by our system below, which led to this alert.

- START OF ADDITIONAL INFORMATION -

Attack detail : 4K scans
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2015.03.10 04:47:14 CET    1.1.1.1:51872    117.177.202.102:8123    TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52619    223.82.243.252:8123     TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:51894    117.171.183.23:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:51969    223.87.139.126:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52661    183.220.40.138:8123     TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:59406    168.63.20.19:8123       TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52010    183.218.127.28:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52026    183.218.88.130:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52024    183.221.53.176:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52030    117.164.27.242:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:53293    60.190.189.214:8123     TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52052    117.173.50.98:8123      TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52058    117.173.55.244:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52060    183.219.218.176:8123    TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52063    117.164.168.148:8123    TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52103    218.204.156.111:8123    TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52106    183.220.40.146:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:54619    117.172.168.229:8123    TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:54641    117.173.36.73:8123      TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:54488    112.45.101.145:8123     TCP      SYN            52 SCAN:SYN

Poderia apenas banir toda a saída na porta 8123 isso resolveria isso? Se sim, como isso é possível?

    
por Nick 10.03.2015 / 05:02

0 respostas

Tags

Problemas com sub-redes e redirecionamentos O teste do Ubuntu dd está ficando lento com o tempo no ESXi 5.5