1. дома
  2. Вопрос и ответ
  3. Как узнать, что запускает сканирование портов ночью из моего Linux?

Как узнать, что запускает сканирование портов ночью из моего Linux?

2015-08-21 2 views
0

У меня есть несколько Linux (в основном Debian) серверов, работающих на платформе Proxmox. Все они подключаются к Интернету через линию ADSL с одним открытым IP-адресом.Как узнать, что запускает сканирование портов ночью из моего Linux?

Один из них работает OMD (открытое распределительное мониторинг) больше, чем год назад для контроля внешнего сервера (другой сети, мониторинг с помощью этой технологии ADSL, подключенного к Интернету.

Теперь я получил сообщение от владельцы удаленного сервера говорят, что они обнаружили сканирование портов запустить в ночь с моей ADSL публичного IP сканируя их открытые порты.

это второй раз, когда это происходит со мной с системой Debian :(

I необходимо обнаружить процесс, выполняющий сканирование

  • Как я могу узнать, какой процесс запускает этот portscan из повреждающего окна Linux? Трудность здесь заключается в том, что мне нужно было бежать - неважно - знать процесс, когда происходит сканирование - что может произойти в какой-то момент ночью.
  • Есть ли способ, чтобы получить список процессов, которые каким-то образом запускаемые и затем закончили между два раза (т.е. новые процессы, запущенные с 23:00 до 03:00)

Спасибо заранее

источник

2015-08-21 Eduardo R.

ответ

0

Я бы порекомендовал вам разместить в вашей сети IDS (систему обнаружения вторжений), чтобы идентифицировать систему оскорблений. Snort - широко используемая IDS, которая подходит для работы. Вероятно, было бы проще всего настроить порт span на вашем маршрутизаторе для отправки всего исходящего трафика в IDS. Правила Snort, которые вы можете загрузить с их сайта, будут генерировать предупреждения, если произойдет сканирование портов.

Пока IDS работает, вы должны одновременно контролировать процессы в системах Linux, которые, как вы подозреваете, проводят нежелательное сканирование. Простой скрипт может быть создан для сохранения списков процессов через промежуток времени или списка уникальных процессов, обнаруженных с помощью временных меток. Если требуется что-то более профессиональное, я уверен, что есть какое-то свободно доступное программное обеспечение для регистрации процессов.

Запуск IDS и контроль процесса на ночь. Найдите идентификацию нежелательного порта в оповещениях IDS для идентификации системы. Перекрестная ссылка на время оповещения с протоколом процесса, чтобы отслеживать, что создает этот трафик.

Удачи.

источник

2015-12-24 16:16:33 vesche

 Смежные вопросы

  • Нет связанных вопросов^_^