Привет!
Перед DROP'ом входящих TCP-соединений в конфиге
iptables прописал LOG с префиксом 'BAD TCP CONNECTION'.
Вот собранная за сегодня статистика:
dmesg | grep 'BAD TCP CONNECTION' | perl -ne 's/^.*SRC=(\S+).*DST=(\S+).*SPT=(\S+).*DPT=(\S+).*$/$1:$3 -> $2:$4/ && print' | sort -u
195.189.47.22:1224 -> 192.168.1.2:56510
195.189.47.22:1855 -> 192.168.1.2:56510
195.189.47.22:1904 -> 192.168.1.2:56510
195.189.47.22:2650 -> 192.168.1.2:56510
195.189.47.22:2666 -> 192.168.1.2:56510
195.189.47.22:3401 -> 192.168.1.2:56510
195.189.47.22:3890 -> 192.168.1.2:56510
195.189.47.22:4631 -> 192.168.1.2:56510
212.106.37.189:58969 -> 192.168.1.2:56510
212.106.37.189:59353 -> 192.168.1.2:56510
213.41.92.4:3187 -> 192.168.1.2:80
217.8.236.212:10045 -> 192.168.1.2:56510
217.8.236.212:13325 -> 192.168.1.2:56510
217.8.236.212:13383 -> 192.168.1.2:56510
217.8.236.212:15873 -> 192.168.1.2:56510
217.8.236.212:16684 -> 192.168.1.2:56510
217.8.236.212:16832 -> 192.168.1.2:56510
217.8.236.212:45153 -> 192.168.1.2:56510
217.8.236.212:56601 -> 192.168.1.2:56510
217.8.236.212:57197 -> 192.168.1.2:56510
217.8.236.212:57930 -> 192.168.1.2:56510
217.8.236.212:63987 -> 192.168.1.2:56510
217.8.236.212:9204 -> 192.168.1.2:56510
217.8.236.212:9297 -> 192.168.1.2:56510
77.239.239.145:4436 -> 192.168.1.2:56510
77.51.21.134:4195 -> 192.168.1.2:56510
77.51.21.134:4256 -> 192.168.1.2:56510
77.51.21.134:4490 -> 192.168.1.2:56510
78.137.49.65:1176 -> 192.168.1.2:56510
78.137.49.65:3290 -> 192.168.1.2:56510
78.137.49.65:3313 -> 192.168.1.2:56510
78.138.191.44:1168 -> 192.168.1.2:56510
78.138.191.44:1681 -> 192.168.1.2:56510
78.138.191.44:2007 -> 192.168.1.2:56510
78.138.191.44:2290 -> 192.168.1.2:56510
78.138.191.44:2530 -> 192.168.1.2:56510
78.138.191.44:2567 -> 192.168.1.2:56510
78.138.191.44:2827 -> 192.168.1.2:56510
78.138.191.44:3878 -> 192.168.1.2:56510
78.138.191.44:3934 -> 192.168.1.2:56510
78.138.191.44:4226 -> 192.168.1.2:56510
78.138.191.44:4239 -> 192.168.1.2:56510
78.138.191.44:4661 -> 192.168.1.2:56510
78.63.142.12:1306 -> 192.168.1.2:40336
78.63.142.12:2603 -> 192.168.1.2:40336
78.63.142.12:2627 -> 192.168.1.2:40336
78.63.142.12:3926 -> 192.168.1.2:40336
78.63.142.12:3944 -> 192.168.1.2:40336
...
...
...
94.179.114.52:2941 -> 192.168.1.2:56510
94.179.114.52:2987 -> 192.168.1.2:56510
94.179.114.52:3145 -> 192.168.1.2:56510
94.179.114.52:3225 -> 192.168.1.2:56510
94.179.114.52:3457 -> 192.168.1.2:56510
94.180.16.168:1655 -> 192.168.1.2:56510
94.180.16.168:4118 -> 192.168.1.2:56510
94.180.16.168:4910 -> 192.168.1.2:56510
95.24.45.118:63875 -> 192.168.1.2:56510
95.24.45.118:63939 -> 192.168.1.2:56510
95.24.45.118:63985 -> 192.168.1.2:56510
95.24.45.118:64347 -> 192.168.1.2:56510
95.24.68.89:2971 -> 192.168.1.2:56510
95.24.68.89:3083 -> 192.168.1.2:56510
95.24.68.89:3283 -> 192.168.1.2:56510
95.24.68.89:3359 -> 192.168.1.2:56510
95.24.68.89:3438 -> 192.168.1.2:56510
95.24.68.89:3671 -> 192.168.1.2:56510
95.24.68.89:3739 -> 192.168.1.2:56510
95.24.68.89:3887 -> 192.168.1.2:56510
95.24.68.89:4070 -> 192.168.1.2:56510
95.54.69.115:1642 -> 192.168.1.2:56510
95.54.69.115:2628 -> 192.168.1.2:56510
95.54.69.115:2774 -> 192.168.1.2:56510
95.54.69.115:3046 -> 192.168.1.2:56510
95.54.69.115:3742 -> 192.168.1.2:56510
95.54.69.115:4368 -> 192.168.1.2:56510
95.54.69.115:4392 -> 192.168.1.2:56510
Удивляют попытки установления соединения на порт 56510.
Причем с разных хостов и в разное время.
Что за порт такой (в google не нашел)?
Кто ломится?
Спасибо!
Ответ на:
комментарий
от ale
Ответ на:
комментарий
от Krivenok_Dmitry
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.