Исходящий PortScan

0

1

Привет,

От хостера моего сервера пришло письмо, где меня блеймят в исходящем портскане. Логи прилагают:

UDP  XXX.XXX.XXX.XXX 29944 =>     48.49.50.51 2632
UDP  XXX.XXX.XXX.XXX 12901 =>     36.37.38.39 7661
UDP  XXX.XXX.XXX.XXX 5182  =>     48.49.50.51 4544
UDP  XXX.XXX.XXX.XXX 12901 =>     36.37.38.39 8805
UDP  XXX.XXX.XXX.XXX 42922 =>     52.53.54.55 7249
UDP  XXX.XXX.XXX.XXX 42922 =>     36.37.38.39 6261
UDP  XXX.XXX.XXX.XXX 42922 =>     52.53.54.55 3601

Куча UDP трафика со случайных портов на случайные порты других IP. Все сканируемые IP имеют структуру вида n.n+1.n+2.n+3 - странно, правда?

Посмотрел «sudo lsof -i udp», там только ntpd. Проверил chkrootkit - тоже ничего не обнаружено. На всякий случай сменил пароль.

Что это может быть? Что еще можно посмотреть? Спасибо.

Ссылка

←	udp.pl как обнаружить и ликвидировать?

Длина и состав ключа dm-crypt/Luks

→

Для начала запусти tcpdump или wireshark и убедись, что провайдер говорит правду и портскан идёт действительно от тебя.

Проверь ещё программой sockstat

anonymous_incognito ★★★★★
(09.04.11 14:43:52 MSK)

Ссылка

Какие-то очень странные ипы. Если эти данные действительно прислал пров то, возможно, есть аппаратная неисправность или баг на сетевом оборудовании. В общем, надо плотнее с саппортом пообщатся, уверены ли они что такой трафик имеет место быть с твоего порта. Ну и сам поснифай :)

А вот твоя комманда тебе может ничего не показать т.к. слушать на порту для udp совсем не обязательно чтобы трафик слать, можешь проверить.

true_admin ★★★★★
(20.04.11 21:17:35 MSK)

Ссылка

iptables -A OUTPUT -p udp -j LOG

Black_Shadow ★★★★★
(04.05.11 16:55:33 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	udp.pl как обнаружить и ликвидировать?

Security

Длина и состав ключа dm-crypt/Luks

→

Похожие темы