Я смотрел свои журналы (сервер Ubuntu 9.10) и не знаю ни о ком из вас, но я получаю тонну трафика из таких источников, как Россия, Румыния и т. Д. На порт 11370 (мои iptables регистрируют его. Но был просто любопытно).
Некоторые поисковые запросы показали эту информацию:
http://www.keysigning.org/sks/ -который, кажется, использует порт 11370 и 11371
Может быть, это служба, которую они ищут (я ее не запускаю)?
ICS показывает это: https://isc.incidents.org/port.html?port=11370
Просто любопытно, что вы думаете, и видел ли кто-нибудь это раньше? При необходимости я могу разместить здесь свой журнал, но это просто сброшенный журнал TCP-порта 11370 с разных IP-адресов.
Думал, что это было странно, поскольку это ЕДИНСТВЕННЫЙ порт, на который я, кажется, постоянно попадаю (из журналов).
Я использую Linode (VPS), если это кому-то интересно.
Открыто (socat -v tcp-l:11370,reuseaddr -) этот порт и смотри, что в него идет
Как вариант, перенаправьте трафик куда-нибудь для анализа с помощью iptables.
/ * Примечание: комментарии и голоса были за другую, более короткую формулировку * /
Может быть, это какой-то новый эксплойт нулевого дня в сервисе, который на нем работает, или какая-то бэкдор-крыса. проверять, выписываться http://www.dshield.org/trends.html. Подумайте о том, чтобы предложить им журналы вашего брандмауэра.
Если вы на своем сервере хотите проверить, прослушивает ли процесс этот порт, просто выполните
netstat -l -p -d | grep 11370
также, если вы видите, что неизвестные номера портов делают
кот / и т.д. / услуги | grep 11370
на моей машине ничего не вышло.
Я думаю (если он все еще доступен) tcpview.exe в Windows, чтобы выполнить ту же работу.