Я только что получил письмо от хостинговой компании:
"Привет от службы хостинга и приложений AT&T. Я здесь инженер по безопасности и пытаюсь отследить инцидент безопасности, который, судя по всему, произошел из вашей сети 3 мая 2011 года. Пожалуйста, изучите TCP-сканирование порта 3072 с IP-адреса xx.xx .xxx.xx и проинформируйте меня о результатах (учетная запись отменена, пользователь предупрежден и т. д.). Мне потребуется эта информация, чтобы закрыть заявку на это действие. Я приложил часть данных журнала в качестве доказательства. EDT (GMT -4).
(ПРИМЕЧАНИЕ. Это автоматический ответ электронной почты на входящее сканирование / атаку.)
18:53:39 xx.xx.xxx.xx 0.0.0.0 [TCP-SWEEP] (всего = 19, dp = 3072, min = 213.244.176.12, max = 212.1.188.120, May 03-17: 34: 49, May 03 - 17:43:38) (USI-amsxaid01) 18:53:39 xx.xx.xxx.xx 0.0.0.0 [TCP-SWEEP] (всего = 23, dp = 1024, min = 212.1.191.8, max = 212.1 .187.114, 03 мая - 17: 35: 14, 03 мая - 17: 43:40) (USI-amsxaid01) "
я заменяю ip на "x"
Это они информируют вас о том, что IP-адрес, указанный в уведомлении, был обнаружен для выполнения сканирования порта TCP / 3072. Как только вы определили причину этого подозрительного поведения, сообщите им, чтобы они могли закрыть свой билет безопасности.