Я использую выделенный сервер для одного из своих проектов. Я получил письмо от поставщика сервера, что их система мониторинга обнаружила сканирование сети (или сетевую атаку) с IP-адреса. Вывод Netscan, который они присылают мне, выглядит примерно так
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_1 5038
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_2 5038
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_3 5038
Sun Mar 16 09:57:21 2014 TCP my_server_ip 63624 => attacker_server_ip_4 5038
и так далее .... Атакующий использовал мультипал ips с вероятностью более 200 ip.
Пожалуйста, объясните мне, что такое атака и что мне делать, чтобы избежать этой атаки.
Большое спасибо заранее
Если вы не запускаете службу на порту 63624, по моему мнению, это был ВАШ сервер, который выполнял сканирование портов. (IE, возможно, он был взломан). Вы не сообщили, какую ОС вы используете - это может помочь нам разобраться в происходящем, но получаете ли вы какой-либо ответ, когда подключаетесь к серверу через Telnet на порт 63624?
Я говорю это потому, что трафик идет от вашего сервера к серверу злоумышленников, хотя обычно можно было бы ожидать обратного. Точно так же, хотя это не невозможно, я думаю, что для интернет-провайдера было бы необычным уведомлять вас о сканировании входящего порта, поскольку они происходят постоянно и с ними мало что можно сделать.
Можете ли вы опубликовать более полную версию журнала?