подозрение на сканирование портов из apache

0

0

Возникла проблема - часто приходят жалобы о сканировании различных портов (как правило >1000) с нашего хостинг сервера. ОС - freebsd 5.4, сканирование идет всегда с одного конкретного IP (на сервере их много). Юзера имеют shell доступ. Юзеру с ip которого идет скан можно доверять, он сам этого делать не будет. chkrootkit ничего не находит, левых процессов я найти не смог. Есть подозрение, что сканирование идет из скриптов юзера с 80ого порта, но проверить все скрипты возможности нет. Есть ли способ определить причину и конкретный источник проблемы?

Ссылка

←

jail

Ещё один глупый вопрос

→

жалобы на сканирование в студию

anonymous
(02.07.05 21:39:42 MSD)

Ответ на: комментарий от anonymous 02.07.05 21:39:42 MSD

вот к примеру:

Event description Host:xxxxx.ru(111.222.333.444) Details:protocol:TCP, source: 111.222.333.444, destination: 555.666.777.888, ports: 3100, 3108, 3110, 2979, 2736, 3014, 3030, 3031, 3037, 2552, ... Alert description: [02/Jun/2005 09:23:02] PORTSCAN hostip="111.222.333.444" hostname="www.xxxxx.ru" log="protocol:TCP, source: 111.222.333.444, destination: 555.666.777.888, ports: 4180, 4181, 4185, 3678, 3982, 3983, 3990, 4003, 4009, 3793, ..." time="Thu Jun 02 09:23:02 2005" username="not logged yet" [02/Jun/2005 09:24:24] PORTSCAN hostip="111.222.333.444" hostname="www.xxxxx.ru" log="protocol:TCP, source: 111.222.333.444, destination: 555.666.777.888, ports: 4175, 4180, 4189, 3678, 3982, 3990, 4003, 4009, 4310, 4311, ..." time="Thu Jun 02 09:24:24 2005" username="not logged yet"

anonymous
(03.07.05 07:32:48 MSD)