Сканирование портов временный блок на Linux Centos
Выберите новый фронтэнд путем установки ENV.
DEBIAN_FRONTEND=noninteractive apt-get -y install x11-common
Я использую это все время в автоматизации установки пакета с cfengine.
LFD - это «демон сбоя входа в систему» вашего CSF-брандмауэра, он блокирует IP-адреса при неудачных попытках входа в систему. Из http://www.configserver.com/cp/csf.html :
В дополнение к брандмауэру ConfigServer (csf) мы разработали процесс демона сбоя входа (lfd), который запускает все время и периодически (каждые X секунд) проверяет последние записи файла журнала на предмет попыток входа в систему на вашем сервере, которые постоянно терпят неудачу в течение короткого периода времени. Такие попытки часто называют «атаками методом грубой силы», и процесс демона очень быстро реагирует на такие шаблоны и быстро блокирует нарушающие IP-адреса. Другие аналогичные продукты запускаются каждые x минут через cron и поэтому часто пропускают попытки взлома, пока они не закончатся. наш демон устраняет такие долгие ожидания и делает его намного более эффективным при выполнении своей задачи.
Из вашего электронного уведомления:
DPT=587
DPT=587
Пока LFD не указывает другие порты назначения, это не похоже на сканирование портов. . Порт 587 - это порт отправки почты SMTP. Похоже, он пытался войти в ваш SMTP, но логин не удался, и из-за нескольких неудачных попыток входа LFD заблокировал его IP. Возможно, это вызвано неправильным паролем, указанным в его почтовом клиенте.
Есть некоторые варианты, которые маловероятны:
(2) Проверка связи не рассматривается как сканирование порта. Некоторые администраторы предпочитают настраивать свои машины на полное игнорирование эхо-запросов, но ни один из известных мне брандмауэров не рассматривает эхо-запросы как сканирование портов.
(4) Существуют веб-приложения, которые выполняют сканирование портов, но они сканируют только тот хост, который использует приложение, чтобы предоставить ему отчет о состоянии этого межсетевого экрана. Я не думаю, что какое-либо веб-приложение позволит выполнить сканирование портов другого места назначения.
(5) Я знаю, что нет брандмауэра, который выполнял бы сканирование портов на другом компьютере, кроме того, на котором он установлен.
(6) То же самое и с маршрутизаторами.
. Прежде чем приступить к техническому анализу, лучше всего, вероятно, спросить клиента, что он сделал. Если он не может определить, что могло вызвать такую реакцию вашего брандмауэра, то он должен проверять безопасность своего ноутбука и своей сети. На мой взгляд, лучшее, что вы можете сделать на стороне сервера, - это запустить инструмент сетевого сниффинга (например, tshark ), однако при этом единственная дополнительная информация, которую вы можете получить, - это то, какие именно порты были сканировано. У вас уже есть злоупотребляющий IP-адрес в вашем журнале брандмауэра, но вы не можете сказать из этого, сделал ли это клиент сам, вирус на его компьютере или кто-то другой из той же внутренней сети, что и клиент.