Во время работы на сайте клиента (локальная сеть, включающая несколько компьютеров с Windows, плюс наш сервер) я заметил, что что-то периодически пытается подключиться к нашему серверу через порт 23 через TCP.
Никто на этом сайте даже не знает, что такое телнет, не говоря уже о том, как его запустить, поэтому я, вероятно, могу исключить человека, пытающегося преднамеренно войти в систему через телнет. К тому же, похоже, что это происходит регулярно, круглосуточно.
Итак, вопрос в том, есть ли какая-либо известная / законная причина для этих попыток? (например, Windows выполняет какое-то сканирование сети или что-то в этом роде)? Или это может быть признаком наличия какого-либо вредоносного ПО в локальной сети?
В настоящее время существует очень мало случаев законного использования Telnet; это определенно не то, что нужно включать, если оно вам не нужно.
Как говорит joeqwerty, получите некоторые подробности о том, откуда приходят запросы на соединение и что на самом деле происходит.
Если вы наблюдаете за трафиком в системе, подключенной к Интернету, вы увидите постоянное сканирование наиболее уязвимых портов (telnet, ssh, ftp, netbios и т. Д.) Автоматическими сценариями в поисках новых целей.
Если у вас действительно есть что-то, прослушивающее telnet или ssh-порты, вы можете ожидать, что вас поразят попытки подбора пароля грубой силой.
К сожалению, это нормально, и такой трафик обычно означает, что вы заметили что-то, что было всегда.
С другой стороны, если telnet-соединения поступают из вашей сети, вам необходимо отследить это, чтобы увидеть, является ли источник зараженной системой; вы не можете очистить весь Интернет, но вы можете очистить его маленький уголок.
Была ли это фактическая попытка подключения или сервер прослушивал порт 23 для входящих подключений, потому что служба Telnet запущена?
Вы запускали netstat или захват пакетов, чтобы получить какие-либо подробности? Если нет, это был бы мой следующий шаг.