Pregunta Debian: exploraciones de puertos salientes detectadas, ¿qué hacer?


Recientemente recibimos un aviso de nuestros proveedores de servidores que detectaban un escaneo de puertos saliente desde nuestro servidor. Comprobaron si había malware o una cuenta comprometida, pero no encontraron ninguna. Todo lo que han sugerido es agregar la regla IpTables para las conexiones TCP salientes para 80 y 443.

Pero me gustaría saber qué salió mal. Nada en /var/log/auth.log. Tengo fail2ban también instalado. Alguna idea de lo que debería hacer Muchas gracias. :-)

Actualizar

tcpdump en el rango 4000-8000.

tcpdump portrange 4000-8000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
14:06:45.025204 IP pacific1660.serverprofi24.eu.5142 > static.126.53.251.148.clients.your-server.de.sip: SIP, length: 417
14:06:45.154178 IP pacific1660.serverprofi24.eu.5142 > legion04.delink-server.net.sip: SIP, length: 419
14:06:45.201135 IP pacific1660.serverprofi24.eu.5142 > static.158.53.251.148.clients.your-server.de.sip: SIP, length: 419
14:16:52.536090 IP 5.45.64.228.7835 > static.158.53.251.148.clients.your-server.de.https: Flags [S], seq 1603658319, win 29200, options [mss 1460], length 0
14:22:13.722644 IP scan-11d.shadowserver.org.45417 > legion04.delink-server.net.6379: Flags [S], seq 1826412023, win 65535, length 0
14:22:13.722660 IP legion04.delink-server.net.6379 > scan-11d.shadowserver.org.45417: Flags [R.], seq 0, ack 1826412024, win 0, length 0

Es el número de seq utilizado por shadowserver.org tan alto como 1826412023 ¿normal? Mientras revisaba su sitio, son para luchar contra el delito cibernético.


0


origen


¿Su servidor es una sola máquina o es un enrutador con una LAN (o varias de ellas) detrás? Para reformular, ¿proporciona acceso a Internet a otras máquinas? - kostix
En general, supuestamente tienes alguna cosa comprometida. Por ejemplo, si tienes sitios web en ejecución, es posible que tengas algunos de ellos, por lo que algunos de tus servidores web ejecutan el malware. Puede intentar averiguar de dónde proviene el tráfico ejecutando correctamente instrumentado tcpdump. - kostix
Obtenga los detalles de su proveedor. La detección de escaneo de puertos es notoria por falsos positivos. - Ron Trunk
@kostix: Perdón por la respuesta tardía. Sí, proporciona acceso a Internet a otras máquinas y es un servidor dedicado. ¿Cómo puedo analizar con tcpdump? - We are Borg
@RonTrunk: el proveedor nos envió una lista completa de IP de origen y destino (los mismos destinatarios), con diferentes puertos. - We are Borg


Respuestas:


¿Ejecutas un servidor FTP? Si es así, el "escaneo de puertos" bien podría haber sido solo una sesión FTP ocupada en "modo activo" (lo que hace que el servidor realice conexiones TCP a los puertos seleccionados por el cliente). Si bien el FTP se utilizó ampliamente, esta fue probablemente la causa más común de detecciones de puertos falsos.

De lo contrario, amplíe su pregunta e incluya algunos detalles del portscan. Por ejemplo, ¿qué puertos de destino fueron probados? ¿La conexión fue exitosa?

Además, si proporciona acceso a Internet a otras máquinas, el escaneo de puertos (si se tratara de un escaneo de puertos real) puede haberse originado en uno de esos.

En lugar de (o además de) usar tcpdump, recomendaría ejecutar un colector de netflow (como nfdump) en la interfaz interna (la que enfrenta las computadoras a las que proporciona conectividad de Internet). Los datos de NetFlow son mucho más concisos que un archivo pcap de tcpdump, por lo que resulta más fácil encontrar los puertos en él.


1



Gracias por la respuesta detallada. Cometí un error al entender si nuestro servidor proporciona conectividad a Internet a otros, y no, no es así. En segundo lugar, obtendré el registro de escaneo de puertos para mañana, y luego actualizaré la publicación con él. Pero a partir de ahora, estoy ejecutando un tcpdump en los puertos 4000-8000. Actualicé el resultado en la publicación principal y me preocupé principalmente por el registro de shadowserver.org que se muestra. Puedes amablemente echar un vistazo. Gracias. :-) - We are Borg
Los números de secuencia grandes son normales (el número de secuencia inicial es un entero aleatorio grande). El registro no parece mostrar un escaneo de puertos. - András Korn