- 论坛徽章:
- 0
|
近期发现一到晚上,系统就一直往外部发送连接,都是通过本地的端口去连接对方的23,感觉好象中肉鸡了,在扫描对方主机的23端口.\r\n我的处理方式,把前端防火墙加了登陆策略,只能通过指定的IP访问(防火墙是PIX515的),并且加了过滤掉了本地连接到远程的23端口的策略.\r\n所以现在本地发起的连接都是SYN_SENT发起请求,没有实际连接,都被过滤了,还有这台服务器的TELNET,FTP等一些功能都已经关闭了,\r\n这台机器外部应该已访问不到了,但是一到晚上凌晨1点一直到6点,还是会不停发起请求,我检查了crontab,不用的cron都注销掉了,当时我也检查了登陆的session,当时就我一个登陆连接,通过ssh key方式登陆的,我又把当时proc日志扣出来,可能发起连接的进程太快,我没有查到\r\n异常的进程,这台服务器跑的是备用的数据库,一到晚上网络监控就告警,有异常连接,本地发起的端口号从30000-60000多,不停的轮寻发起请求,最主要的是我lsof也没查到这发起的进程是哪个.\r\n这问题挺头痛的,各位大虾有没有遇到过,或者知道这种情况的,有什么好的软件能扫描出的,我估计应该是被人肉鸡了.\r\nprstat我也没有发现什么异常进程,非常奇怪.\r\n有什么好的建议,大家都提下,分享下.\r\n以下是我netstat出来的一部分连接\r\nTCP: IPv4\r\n Local Address Remote Address Swind Send-Q Rwind Recv-Q State\r\n-------------------- -------------------- ----- ------ ----- ------ -----------\r\n172.17.27.13.37356 147.144.208.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37357 6.181.60.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37358 193.203.21.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37359 6.89.231.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37360 41.69.45.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37361 218.192.99.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37362 146.14.96.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37363 20.5.204.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37364 72.43.42.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37365 215.124.11.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37366 152.113.91.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37367 59.185.220.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37368 47.83.157.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37369 33.102.29.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37370 59.78.92.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37371 152.157.17.162.23 0 0 49640 0 SYN_SENT\r\n172.17.27.13.37372 154.163.184.162.23 0 0 49640 0 SYN_SENT |
|