LINUX.ORG.RU
ФорумSecurity

Netscan detected from host [ip_moego_servera]

 , ,


0

1

Периодически от хост провайдера, поступают абузы, такого характера. Началось, квартал назад. До этого, больше года, все тихо было. В системе стоит: proxmox, nginx, php. Это всё. Не могу тока понять, зачем сканировать, локалку или это, ошибка хост провайдера? в чем смысл, данного действия.

##########################################################################

# Netscan detected from host [ip_moego_servera] #

##########################################################################

time protocol src_ip src_port dest_ip dest_port

---------------------------------------------------------------------------

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.8 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.9 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.10 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.11 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.12 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.13 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.14 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.15 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.16 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.17 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.18 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.19 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.20 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.21 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.22 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.23 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.24 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.25 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.26 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.27 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.28 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.29 45769

Wed Aug 15 21:14:56 2018 UDP [ip_moego_servera] 54416 => 10.16.10.30 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.31 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.32 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.33 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.34 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.35 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.36 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.37 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.38 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.39 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.40 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.41 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.42 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.43 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.44 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.45 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.46 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.47 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.48 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.49 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.50 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.51 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.52 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.53 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.55 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.56 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.57 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.58 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.59 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.60 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.61 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.62 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.63 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.64 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.65 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.66 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.68 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.69 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.70 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.71 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.72 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.73 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.74 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.75 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.76 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.77 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.78 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.79 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.80 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.81 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.82 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.83 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.84 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.85 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.86 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.87 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.88 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.89 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.90 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.91 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.92 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.93 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.94 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.95 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.96 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.97 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.98 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.99 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.100 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.101 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.102 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.103 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.104 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.105 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.106 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.107 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.108 45769

Wed Aug 15 21:14:57 2018 UDP [ip_moego_servera] 54416 => 10.16.10.109 45769



Последнее исправление: terra2039 (всего исправлений: 1)
Iptables блокирует работу Aptitude, не могу понять как разрешить
Rootkitы в ubuntu mate
Ответ на: комментарий от MikeWortin

reinstall смысла нет. Не шибко много, хост провайдеров, с норм ценами. Хостер, свои проблемы, на пользователей, перекладывает. Объяснять что сеть класса А, не является угрозой, для них. Безсмысленно. Требование одно, заблокируйте. В данном случае, интересуют, тока мнения.

terra2039
() автор топика

UDP [ip_moego_servera] 54416 =>

Это трафик исходящий от вашего сервера? Тогда проблема вашего сервера.

samson ★★
()
Ответ на: комментарий от terra2039

Хостер, свои проблемы, на пользователей, перекладывает. Объяснять что сеть класса А, не является угрозой, для них. Безсмысленно. Требование одно, заблокируйте. В данном случае, интересуют, тока мнения.

И хостер прав, т.к. как твой сервер находится под контролем хозяина ботнета, и неизвестно, что он учудит в будущем. Как минимум тут можно видеть нагрузку на сеть (пропускная способность сетевого оборудования не бесконечная, внезапно) и попытку поиска дыр в инфраструктуре хостинга.

Ищи процессы, генерирующие этот трафик. Если повезет и будет взломан только сайт, то удали малварь и обнови CMS. Ну или просто переустанови сайт, да.

Deleted
()
Ответ на: комментарий от MikeWortin

если не поможет - смени хостинг

Дырявый сайт везде будет дырявым, независимо от хостинга.

Deleted
()
Ответ на: комментарий от samson

Никакой. Дропаются, по запросу хостера. Раз в месяц и реже, возникает. Длительность, 1 секунда. Тока адрес назначения, схож с внутренней сетью. За NAT. Сервер, для виртуалок, держится. В основном.

terra2039
() автор топика
Ответ на: комментарий от terra2039

Дропаются, по запросу хостера. Раз в месяц и реже, возникает. Длительность, 1 секунда. Тока адрес назначения, схож с внутренней сетью. За NAT. Сервер, для виртуалок, держится. В основном.

Дропаются по запросу хостера. Раз в месяц и реже возникают. Длительность 1 секунда. Тока адрес назначения схож с внутренней сетью за NAT. Сервер в основном для виртуалок держится.

Так???

Что означает: «Дропаются по запросу хостера»?

И раз уж «раз в месяц возникает на 1 секунду» то, если не секрет, как Вы это умудрились увидеть/поймать/отмониторить?)

И правильно ли я понял, что это исходящий от вашего сервера?

Ну и раз 1 сек в месяц - забейте.

ps: заметили, что можно вообще без запятых?)

samson ★★
()

Посмотрите какой процесс генерит этот трафик: fuser -vn udp 54416

Еще как то так: iptables ТРАТАТА -j LOG --log-uid

samson ★★
()
Ответ на: комментарий от samson

К сожалению, на данную команду, системой выдан пустой ответ. 

 tcpdump src port 54416
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

 tcpdump dst port 45769
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

terra2039
() автор топика
Ответ на: комментарий от samson

У https://ru.hetzner.com/ есть система, мониторинга сети. Когда этой системе кажется что что то, не так. Она присылает файл, с указанием что было сканирование. По необъяснимой причине, сканируется всегда, тока сеть 10.16.10.0/24, тока UDP пакеты на определенный порт. Сеть виртуалок 10.16.10.0.29 Длительность всегда, 1 секунда.

terra2039
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Iptables блокирует работу Aptitude, не могу понять как разрешить
Security
Rootkitы в ubuntu mate