Debian: Ausgehende Port-Scans erkannt, was tun?

0

Wir haben kürzlich eine Nachricht von unseren Server-Providern erhalten, dass sie einen ausgehenden Port-Scan von unserem Server festgestellt haben. Sie haben nach Malware oder einem kompromittierten Konto gesucht, jedoch keine gefunden. Sie haben lediglich vorgeschlagen, die IpTables-Regel für ausgehende TCP-Verbindungen für 80 & amp; 443.

Aber ich würde gerne wissen, was schief gelaufen ist. Nichts in /var/log/auth.log. Ich habe fail2ban auch installiert. Irgendwelche Ideen was ich tun soll. Danke vielmals. :-)

Aktualisieren

tcpdump im Bereich 4000-8000. 

tcpdump portrange 4000-8000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:06:45.025204 IP pacific1660.serverprofi24.eu.5142 > static.126.53.251.148.clients.your-server.de.sip: SIP, length: 417
14:06:45.154178 IP pacific1660.serverprofi24.eu.5142 > legion04.delink-server.net.sip: SIP, length: 419
14:06:45.201135 IP pacific1660.serverprofi24.eu.5142 > static.158.53.251.148.clients.your-server.de.sip: SIP, length: 419
14:16:52.536090 IP 5.45.64.228.7835 > static.158.53.251.148.clients.your-server.de.https: Flags [S], seq 1603658319, win 29200, options [mss 1460], length 0
14:22:13.722644 IP scan-11d.shadowserver.org.45417 > legion04.delink-server.net.6379: Flags [S], seq 1826412023, win 65535, length 0
14:22:13.722660 IP legion04.delink-server.net.6379 > scan-11d.shadowserver.org.45417: Flags [R.], seq 0, ack 1826412024, win 0, length 0

Ist die von shadowserver.org verwendete SEQ-Nummer so hoch wie 1826412023 normal? Als ich ihre Website überprüft habe, sind sie für die Bekämpfung von Cyber-Kriminalität.

linux networking debian firewall iptables We are Borg
quelle
Ist Ihr Server eine einzelne Maschine oder ein Router mit einem LAN (oder mehreren) dahinter? Bietet es zum Umformulieren Internetzugang für andere Computer?
kostix
Alles in allem haben Sie angeblich etwas kompromittiert. Wenn Sie zum Beispiel Websites betreiben, ist es möglich, dass Sie einige davon besitzen, sodass die Malware von einigen Ihrer Webserver ausgeführt wird. Sie können versuchen, herauszufinden, woher der Verkehr kommt, indem Sie richtig instrumentiert laufen tcpdump.
kostix
Erkundigen Sie sich bei Ihrem Anbieter. Die Port-Scan-Erkennung ist für falsch positive Ergebnisse berüchtigt.
Ron Trunk
@kostix: Sorry für die verspätete Antwort. Ja, es bietet Internetzugang zu anderen Maschinen und ist ein dedizierter Server. Wie kann ich mit tcpdump analysieren?
We are Borg
@RonTrunk: Der Anbieter hat uns eine vollständige Liste der Quell- und Ziel-IP (gleiche Adresse) mit unterschiedlichen Ports gesendet.
We are Borg

Antworten:

1

Führen Sie einen FTP-Server aus? In diesem Fall wäre der "Portscan" möglicherweise nur eine ausgelastete FTP-Sitzung im "aktiven Modus" (wodurch der Server TCP-Verbindungen zu den vom Client ausgewählten Ports herstellt). Obwohl FTP weit verbreitet war, war dies wahrscheinlich die häufigste Ursache für falsche Portscan-Erkennungen.

Wenn nicht, erweitern Sie bitte Ihre Frage und geben Sie einige Details des Portscans an. Welche Zielports wurden beispielsweise getestet? Waren die Verbindungsversuche erfolgreich?

Wenn Sie anderen Computern Internetzugang gewähren, stammt der Portscan (wenn es sich um einen echten Portscan handelte) möglicherweise von einem dieser Computer.

Anstatt (oder zusätzlich zu) tcpdump zu verwenden, würde ich empfehlen, einen Netflow-Collector (wie nfdump ) auf der internen Schnittstelle (derjenigen, die den Computern zugewandt ist, mit denen Sie die Internetverbindung herstellen). NetFlow-Daten sind wesentlich prägnanter als eine tcpdump-pcap-Datei, wodurch das Auffinden von Portscans erleichtert wird.

András Korn
quelle
Vielen Dank für die ausführliche Antwort. Ich habe einen Fehler gemacht, als ich verstand, ob unser Server anderen eine Internetverbindung bietet, und nein, das ist nicht der Fall. Zweitens werde ich morgen das Protokoll des Port-Scans erhalten und dann den Beitrag damit aktualisieren. Ab sofort führe ich einen tcpdump auf den Ports 4000-8000 aus. Ich habe das Ergebnis im Hauptbeitrag aktualisiert und mich hauptsächlich um das Shadowserver.org-Protokoll gekümmert, das angezeigt wird. Können Sie sich das bitte ansehen? Vielen Dank. :-)
We are Borg
Große Folgenummern sind normal (die anfängliche Folgenummer ist eine zufällige große ganze Zahl). In dem Protokoll wird kein Portscan angezeigt.
András Korn