0

Proxmox プラットフォームで複数の Linux (主に Debian) サーバーを実行しています。それらはすべて、1 つのパブリック IP のみを使用して、ADSL 回線を介してインターネットに接続しています。

それらの1つは、1年以上前からOMD(オープンモニタリングディストリビューション)を実行して、外部サーバー(インターネットに接続するADSLを介して監視される他のネットワーク)を監視しています。

今、リモート サーバーの所有者から、開いているポートをスキャンしている私の ADSL パブリック IP から夜間に実行されたポート スキャンを検出したというメッセージを受け取りました。

Debianシステムでこれが私に起こるのは2回目です:(

そのスキャンを実行しているプロセスを検出する必要があります

  • 問題のある Linux ボックスからそのポートスキャンを起動しているプロセスを確認するにはどうすればよいですか? ここでの難しさは、スキャンが行われるときのプロセスを知るために実行する必要があることです-これは夜のある瞬間に発生する可能性があります.
  • どういうわけか起動されてから 2 回の間に終了したプロセスのリストを取得する方法はありますか (つまり、23:00 から 03:00 に開始された新しいプロセス)

前もって感謝します

4

1 に答える 1

0

問題のあるシステムを特定するために、IDS (侵入検知システム) をネットワークに配置することをお勧めします。Snortは、この仕事に適した広く使用されている IDS です。すべての送信トラフィックを IDS に送信するようにルーターのスパン ポートを構成するのがおそらく最も簡単でしょう。Web サイトからダウンロードできる Snort ルールは、ポート スキャンが発生した場合にアラートを生成します。

IDS の実行中は、不要なスキャンを実行していると思われる Linux システムのプロセスを同時に監視する必要があります。単純なスクリプトを作成して、プロセスのリストを一定間隔で保存したり、タイムスタンプで検出された一意のプロセスをリストしたりすることができます。より専門的なものが必要な場合は、無料で入手できる何らかのプロセス ログ ソフトウェアがあると確信しています。

IDS を実行し、夜間にモニタリングを処理します。IDS アラートで不要なポート スキャンを見つけて、システムを特定します。このトラフィックを作成しているものを追跡するために、アラートの時刻とプロセス ログを相互参照します。

幸運を。

于 2015-12-24T16:16:33.913 に答える