Я использую VPS-сервер (Linux CentOS) для предоставления своим клиентам веб-хостинга.
Вчера один из моих клиентов был заблокирован брандмауэром LFD на моем сервере:
Я получил электронное письмо администратора сервера со следующей строкой темы:
lfd on vps.audetwebhosting.net: 24.2.190.167
(US/United States/c-24-2-190-167.hsd1.ct.comcast.net)
blocked for port scanning
и тело содержало строки вроде:
Time: Sun Mar 31 11:29:35 2013 -0400
IP: 24.2.190.167 (US/United States/c-24-2-190-167.hsd1.ct.comcast.net)
Hits: 11
Blocked: Temporary Block
Sample of block hits:
Mar 31 11:28:22 vps kernel: [2760494.944535] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=24.2.190.167 DST=64.131.66.177 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=14772 DF PROTO=TCP SPT=50780 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 31 11:28:23 vps kernel: [2760496.050542] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=24.2.190.167 DST=64.131.66.177 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=28408 DF PROTO=TCP SPT=50780 DPT=587 WINDOW=65535 RES=0x00 SYN URGP=0
Мой клиент не слишком разбирается в технологиях, поэтому я не думаю, что они просто случайно запустили бы сканирование портов на своем ноутбуке Mac.
Я предполагаю, что могло случиться:
(1) На клиентском ноутбуке обнаружен вирус, выполняющий сканирование портов.
(2) Клиент открыл окно консоли и попытался проверить связь со своим сайтом.
(3) Какой-то хакер сидит на корточках на подключении Wi-Fi cleint
(4) Клиент посетил веб-сайт, у некоторых из них есть веб-приложение, которое выполняет сканирование портов.
(5) У клиента есть брандмауэр / антивирусное ПО, которое может сканировать порты.
(6) У клиента есть маршрутизатор, который сканирует порты.
Мне интересно, как кто-то мог случайно вызвать ответ типа сканирования порта от брандмауэра?
Я веб-программист, а не гуру Linux, поэтому даже не знаю, как лучше всего задать этот вопрос. Спасибо за терпеливость.
LFD - это «демон сбоя входа в систему» вашего CSF-брандмауэра, он блокирует IP-адреса при неудачных попытках входа в систему. Из http://www.configserver.com/cp/csf.html :
To complement the ConfigServer Firewall (csf), we have developed a Login Failure Daemon (lfd) process that runs all the time and periodically (every X seconds) scans the latest log file entries for login attempts against your server that continually fail within a short period of time. Such attempts are often called "Brute-force attacks" and the daemon process responds very quickly to such patterns and blocks offending IP's quickly. Other similar products run every x minutes via cron and as such often miss break-in attempts until after they've finished, our daemon eliminates such long waits and makes it much more effective at performing its task.
Из вашего электронного уведомления:
DPT=587
DPT=587
Пока LFD не указывает других портов назначения, это не похоже на сканирование портов. Порт 587 - это порт отправки почты SMTP. Кажется, он пытался войти в ваш SMTP, но логин не удался, и из-за некоторых неудачных попыток входа LFD заблокировал его IP. Возможно, это вызвано неправильным паролем, указанным в его почтовом клиенте.
Есть несколько вариантов, которые маловероятны:
(2) Проверка связи не рассматривается как сканирование порта. Некоторые администраторы предпочитают настраивать свои машины на полное игнорирование эхо-запросов, но ни один из известных мне брандмауэров не рассматривает эхо-запросы как сканирование портов.
(4) Существуют веб-приложения, которые выполняют сканирование портов, но они сканируют только хост, который использует приложение, чтобы предоставить ему отчет о состоянии этого межсетевого экрана. Я не думаю, что какое-либо веб-приложение позволит выполнить сканирование портов другого места назначения.
(5) Насколько мне известно, нет брандмауэра, который выполнял бы сканирование портов на машине, отличной от той, на которой он установлен.
(6) То же самое и с маршрутизаторами.
. Прежде чем приступить к техническому анализу, лучше всего, вероятно, спросить клиента, что он сделал. Возможно, он читал учебник о Nmap и решил проверить свой сервер. Если он не может сказать, что могло вызвать такую реакцию вашего брандмауэра, то он должен проверять безопасность своего ноутбука и своей сети. На мой взгляд, лучшее, что вы можете сделать на стороне сервера, - это запустить инструмент сетевого сниффинга (например, цирк), однако при этом единственная дополнительная информация, которую вы можете получить, - это то, какие именно порты были просканированы. У вас уже есть злоупотребляющий IP-адрес в вашем журнале брандмауэра, но вы не можете сказать из этого, сделал ли это клиент сам, вирус на его компьютере или кто-то другой из той же внутренней сети, что и клиент.