如何找出什么是在晚上启动端口扫描从我的Linux?
如何找出什么是在晚上启动端口扫描从我的Linux?
提问于 2015-08-21 09:06:50
我有几台Linux (主要是Debian)服务器运行在Proxmox平台上。它们都通过ADSL线路连接到Internet,只有一个公共IP。
其中之一是运行OMD (开放监控发行版)从一年多以前,以监测外部服务器(其他网络,监测通过ADSL连接到互联网。
现在,我收到了远程服务器所有者的一条消息,消息说他们从我的ADSL公共IP扫描他们的开放端口中检测到了在夜间运行的端口扫描。
这是我第二次在Debian系统中遇到这种情况:
我需要检测运行扫描的进程
- 我怎样才能知道是什么进程从违规的linux盒启动这个端口扫描呢?这里的困难在于,我需要运行--无论如何--才能知道扫描发生的过程-which可以在夜间的某个时刻发生。
- 是否有办法获得以某种方式启动并在两次之间完成的进程列表(即从23:00至03:00开始的新进程)?
提前感谢
回答 1
Stack Overflow用户
发布于 2015-12-24 16:16:33
我建议您在网络上放置一个IDS (入侵检测系统),以便识别违规系统。喷鼻是一个广泛使用的入侵检测系统,适用于这项工作。将路由器上的span端口配置为将所有传出流量发送到IDS可能是最简单的。如果端口扫描发生,您可以从其网站下载的Snort规则将生成警报。
当IDS运行时,您应该同时监视您怀疑正在进行不必要的扫描的Linux系统上的进程。可以创建一个简单的脚本来在一个时间间隔保存进程列表,或者列出用时间戳发现的唯一进程。如果想要更专业的东西,我相信会有一些免费的过程日志软件。
一夜之间运行IDS和进程监视。在IDS警报中查找不必要的端口扫描以识别系统。将警报时间与进程日志记录交叉引用,以便跟踪创建此通信量的内容。
祝好运。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/32136506
复制相关文章
相似问题
腾讯云开发者
