「TCPスイープ」-それはなんですか?どのように私はそれを引き起こしていますか?
ホスティング会社から、利用規定に違反しているというメールが届きました。
彼らは、「ポート22のTCPスイープ」と関係があることについて不平を言っている別の会社からの電子メールを私に転送しました。ログからの抜粋が含まれていました。
20:29:43 <MY_SERVER_IP> 0.0.0.0 [TCP-SWEEP]
(total=325,dp=22,min=212.1.191.0,max=212.1.191.255,Mar21-20:26:34,Mar21-20:26:34)
(USI-amsxaid01)
現在、私のサーバーの知識はせいぜい限られており、これが何であるか、または何が原因である可能性があるのかまったくわかりません。
どんな助けでも大歓迎です!
ありがとうございました
あなたのマシンが他のマシンのポート22をスキャンしていると彼らが言っているようですTCP他のマシンのポート22。これを行うようにサーバーを構成しなかった場合は他の誰かが行った 。マシンが危険にさらされており、悪意のあるサードパーティソフトウェアがインストールされている可能性があります。
その場合は、マシンを平準化し、OSをリロードし、適切なバックアップからデータを復元するときが来ました。また、侵害の根本原因を特定し、将来的に発生しないようにするために、いくつかの分析を行う必要があります(つまり、別のゾンビがやって来て再び侵害したときに復元した直後)。
実際問題として、これらのことを行う方法がわからない場合は、実際に行う人のサービスを維持する必要があります。最小限のソフトウェアをインストールしてサーバーを構成し、可能な限り最も安全な方法で構成し(最小特権、デフォルトパスワードなし、不要な機能/機能を無効にするなど)、定期的なセキュリティパッチのインストールスケジュールでこれを防ぐのは不思議です。ある種のことが再び起こることから。
専門家にサーバーのレビューを依頼してください。ルートキットなどを入手したため、再インストールする必要があります。通常、サーバーはスイープしません。私は信頼できるものをすべて取り除いて、新しいインストールイメージでサーバーを強制終了します-チェックするよりも速く。
次に、管理者を雇ってサーバーを管理します。あなたのホスティングプロバイダーは、管理を処理するホスティングovversを管理していると確信しています。
あなたの声明は、「私は運転免許なしで運転していて、基本的に運転方法がわからないので、警察が私を捕まえました。どうすればよいですか」という言葉に沿っています。インターネット上でサーバーを実行することは必ずしも簡単なことではなく、「これが何であるかわからない」ことはここでは役に立ちません。
基本的には、自分でハングアップできるサーバーよりも、マネージドサーバー(ホスティングプロバイダーが提供している場合)の方が適しています。