0

我有几个在 Proxmox 平台上运行的 Linux(主要是 Debian)服务器。他们都通过ADSL线路连接到互联网,只有一个公网IP。

其中一个在一年多前开始运行 OMD(开放监控分发)来监控外部服务器(其他网络,通过连接到 Internet 的 ADSL 进行监控。

现在我收到了来自远程服务器所有者的消息,说他们检测到我的 ADSL 公共 IP 在夜间运行端口扫描,扫描他们的开放端口。

这是我第二次使用 Debian 系统 :(

我需要检测运行该扫描的进程

  • 如何找出从有问题的 linux 机器启动该端口扫描的进程?这里的困难是我需要运行 - 无论如何 - 以了解扫描发生时的过程 - 这可能会在晚上的某个时刻发生 - 。
  • 有没有办法获取以某种方式启动然后在两次之间完成的进程列表(即新进程从 23:00 开始到 03:00)

提前致谢

4

1 回答 1

0

我建议您在网络上放置一个 IDS(入侵检测系统)以识别违规系统。Snort是一种适用于该工作的广泛使用的 IDS。在您的路由器上配置一个跨接端口以将所有传出流量发送到 IDS 可能是最简单的。如果发生端口扫描,您可以从他们的网站下载的 Snort 规则将生成警报。

在 IDS 运行时,您应该同时监视您怀疑正在执行不需要的扫描的 Linux 系统上的进程。可以创建一个简单的脚本以按时间间隔保存进程列表,或列出发现的带有时间戳的唯一进程。如果需要更专业的东西,我相信有某种免费提供的过程记录软件。

夜间运行 IDS 和进程监控。在 IDS 警报中查找不需要的端口扫描以识别系统。将警报时间与进程日志交叉引用,以追踪造成此流量的原因。

祝你好运。

于 2015-12-24T16:16:33.913 回答