入侵防御日志
入侵防御日志
提问于 2011-02-28 18:21:46
我收到一封带有IDS日志的客户端的电子邮件。我想知道下面的日志是否有任何真正的迹象表明服务器被破坏了。如果有某些事情我可以做诊断的情况,我是开放的任何建议。
###Log Start##
02/28/2011 08:58:42.352 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 8897, OPT - TCP scanned
port list, 8869, 8867, 8863, 8898, 8899
02/28/2011 09:08:01.144 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 12470, OPT - TCP scanned
port list, 12403, 12454, 12462, 12466, 12472
02/28/2011 09:09:20.080 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 14037, OPT - TCP
scanned port list, 13972, 13970, 14023, 13979, 13983
02/28/2011 09:10:58.496 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 15749, OPT - TCP
scanned port list, 15755, 15715, 15697, 15717, 15751
02/28/2011 09:14:24.112 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 19277, OPT - TCP
scanned port list, 19239, 19266, 19269, 19273, 19275
02/28/2011 09:15:50.592 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 21033, OPT - TCP
scanned port list, 21071, 20965, 21111, 20955, 21090
02/28/2011 09:26:15.016 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 37244, OPT - TCP
scanned port list, 37260, 37278, 37235, 37238, 37247
02/28/2011 09:28:53.592 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 40411, OPT - TCP
scanned port list, 40468, 40453, 40454, 40455, 40465
02/28/2011 09:29:19.128 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 41163, OPT - TCP scanned
port list, 41217, 41216, 41178, 41137, 41138
02/28/2011 09:40:38.240 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 55567, OPT - TCP
scanned port list, 55555, 55553, 55582, 55589, 55561
###Log End##回答 2
Security用户
发布于 2011-02-28 19:35:31
日志中没有妥协的迹象。它们只在最坏的端口扫描时出现。这是寻找开放端口的行为,如果发现打开的端口,下一步就是检查软件运行的版本,然后尝试利用潜在的漏洞来获取访问权限。这也会出现在日志中(只要IDS没有被错误地调优)。
但是,值得查看web服务器日志,以查看此活动的源地址是否与使用web服务器的有效IP相对应。有时,当客户端试图连接到服务时,它们会在远程端口(在本例中为443)上建立连接,而服务器试图为返回的流量打开一个高端口。如果这被阻塞,则连接可能尝试建立不同的高端口,等等。这可能会产生类似端口扫描的效果。
Security用户
发布于 2016-06-25 21:50:20
答案
不,这不是妥协的迹象。
有关
扫描的详细信息
如消息所示,有两种不同类型的端口扫描发生:
- TCP扫描:完全扫描(SYN,SYN/ACK,ACK)或半打开扫描(SYN,SYN/ACK)
- FIN扫描:一种更先进的扫描技术
这取决于FW/IDS模块需要哪个阈值来生成这些消息。不同的默认值提供不同的产品。第二次扫描技术是相当不受欢迎的,不太常见,被视为无害的侥幸。这可能表示有人花时间枚举目标站点。通过检测,我们可以假设该人不是技术水平较低,就是很匆忙。
DoS尝试不太可能的
此外,消息的时间并不表示可能的DDoS洪泛方法。太慢了。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/2325
复制相关文章
相似问题
腾讯云开发者
