Unser ISP hat uns kontaktiert und mitgeteilt, dass einer unserer Server einen Angriff auf einen anderen Computer ausgeführt hat.

May 23 14:11:35 wdc lfd[14308]: *Port Scan* detected from ***.***.***.***
(US/United States/-). 11 hits in the last 245 seconds - *Blocked in csf* for
3600 secs [PS_LIMIT]

Ich weiß nicht, was das bedeutet, aber unser Server ist ein Factory-Image, auf dem nur ein paar Programme ausgeführt werden.

Ich möchte die Domain kennen, weiß aber nicht, wie ich sie nachschlagen soll.

Verwenden nslookup

Suchen wir zum Beispiel die Domain für 207.46.19.254

C: \> nslookup-Typ = PTR 254.19.46.207.in-addr.arpa   
Nicht maßgebliche Antwort:                                                   
254.19.46.207.in-addr.arpa name = wwwbaytest2.microsoft.com            

Beachten Sie, dass Sie die Reihenfolge der vier Zahlen umkehren und anhängen .in-addr.arpa

Denken Sie daran, dass eine IP-Adresse mehrere Domänen haben kann und dass die Administratoren die umgekehrten Zuordnungen im DNS nicht immer (sondern meistens) einrichten sollten.

Zwei Dinge, die Sie tun können. Eine davon ist die umgekehrte DNS-Suche.

dig -x x.x.x.x

Sie können auch Geoiplookup verwenden, um den allgemeinen Bereich der Quelle zu ermitteln.

Würde der ping -aBefehl nicht auch funktionieren?

Das heißt, . Es ist zwar nicht immer erfolgreich, aber wahrscheinlich die einfachste Methode.ping -a insert IP address here

ARIN WHOIS ist wahrscheinlich die Standardeinstellung für das Auflösen von IPs in die registrierten Namen, obwohl ich häufig auch SANS verwende . Das Suchfeld auf beiden Websites befindet sich in der oberen rechten Ecke.
Dadurch werden nur Domain-Namen im Internet aufgelöst, keine internen Domain-Namen, nach denen Sie möglicherweise suchen.

DomainTools whois und reverse dns waren schon immer meine Anlaufstelle für einfaches und genaues Löschen dieser Art.

http://www.domaintools.com/

A whoisvon der Kommandozeile holt mir ziemlich viele Informationen, oder Sie können immer ein Network Lookupoder Whoisbei www.nwtools.com versuchen

Beide folgenden Befehle sind OK!

208.97.177.124 => apache2-argon.william-floyd.dreamhost.com

nslookup -type=PTR 208.97.177.124 in-addr.arpa

nslookup -type=PTR 208.97.177.124

nslookup 208.97.177.124

Dieser Befehl ist NICHT richtig!

208.97.177.124 => CPE-124-177-97-208.lns6.cha.bigpond.net.au

nslookup -type=PTR 208.97.177.124.in-addr.arpa

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124.in-addr.arpa
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
208.97.177.124.in-addr.arpa     name = CPE-124-177-97-208.lns6.cha.bigpond.net.au

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>nslookup -type=PTR 208.97.177.124 in-addr.arpa
*** Can't find server address for 'in-addr.arpa':
Server:  phicomm.me
Address:  192.168.2.1

Non-authoritative answer:
124.177.97.208.in-addr.arpa     name = apache2-argon.william-floyd.dreamhost.com

G:\JavaScript Testing>

Verweise:

https://ist.mit.edu/network/ip

Sie können auch den Befehl host verwenden (getestet unter Linux): host -a 1.2.3.4