Сетевая атака на выделенный сервер [дубликат]
На этот вопрос уже есть ответ здесь:
- Как мне поступить с взломанным сервером? 13 ответов
Я использую выделенный сервер, размещающий один из моих проектов. Я получил письмо от поставщика сервера, что их система мониторинга обнаружила сканирование сети (или сетевую атаку) с IP-адреса. Вывод Netscan, который они присылают мне, выглядит примерно так
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_1 5038
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_2 5038
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_3 5038
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_4 5038
и так далее .... Атакующий использовал multipal IP с вероятностью более 200 IP.
Пожалуйста, расскажите мне, что такое атака и что мне делать, чтобы избежать этой атаки.
Заранее большое спасибо
Unless you are running a service on port 63624, by my reading of this log, it was YOUR server which was doing the port scan. (IE it may have been hacked) You have not advised what OS you are using - advising this might help us work out whats going on, but do you get any kind of response when you telnet to your server on port 63624 ?
The reason I say this is the traffic shows as going from your server to the attackers server, when normally the reverse would be expected. Similarly, while not impossible, I think it would be unusual for an ISP to notify you of an incoming port scan, as they occur all the time and there is little that can be done about about them.
Are you able to post a fuller version of the log ?