如何找出什么是在晚上启动端口扫描从我的Linux?
如何找出什么是在晚上启动端口扫描从我的Linux?
提问于 2015-08-21 10:36:01
我有几台Linux (主要是Debian)服务器运行在Proxmox平台上。它们都通过ADSL线路连接到Internet,只有一个公共IP。
其中之一是运行OMD (开放监控发行版)从一年多以前,以监测外部服务器(其他网络,监测通过ADSL连接到互联网。
现在,我收到了远程服务器所有者的一条消息,消息说他们从我的ADSL公共IP扫描他们的开放端口中检测到了在夜间运行的端口扫描。
这是我第二次在Debian系统中遇到这种情况:
我需要检测运行扫描的进程
- 我怎样才能知道是什么进程从违规的linux盒启动这个端口扫描呢?这里的困难在于,我需要运行--无论如何--才能知道扫描发生的过程-which可以在夜间的某个时刻发生。
- 是否有办法获得以某种方式启动并在两次之间完成的进程列表(即从23:00至03:00开始的新进程)?
提前感谢
回答 1
Unix & Linux用户
回答已采纳
发布于 2015-08-21 13:21:19
跟踪这些不需要的行为的最好方法是不时收集机器活动的日志。
使用cron每15分钟运行一次脚本,查看开放的网络连接可能是最好的方法。
我建议您使用lsof命令并收集由您的计算机建立的网络连接的信息。类似于:
lsof -i@scanned-server.domain.net >> /tmp/my-connexions.log或者,如果您的机器正在随机扫描并更改每次您可以扫描的if (仅限于TCP连接):
lsof -iTCP >> /tmp/my-connexions.loglsof命令的结果如下:
iceweasel 31562 user 50u IPv4 13500060 0t0 TCP bill:47039->stackoverflow.com:https (ESTABLISHED)
iceweasel 31562 user 60u IPv4 13549538 0t0 TCP bill:60564->104.16.15.128:http (ESTABLISHED)
iceweasel 31562 user 61u IPv4 13578815 0t0 TCP bill:46285->185.45.5.43:https (ESTABLISHED)
iceweasel 31562 user 67u IPv4 13496262 0t0 TCP bill:47020->stackoverflow.com:https (ESTABLISHED)在每一行的最左边,您可以看到运行connexion的程序的名称(这是您的例子中有趣的部分)。行的其余部分描述连接和使用的协议。
您还可以查看auditctl (附带auditd包),它将记录程序对内核的任何系统调用(这比不时运行lsof要精确得多)。您可以运行类似的操作(像往常一样,先阅读文档!):
auditctl -A exit,always -S connect页面原文内容由Unix & Linux提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://unix.stackexchange.com/questions/224630
复制相关文章
相似问题
腾讯云开发者
