私のSIEMは興味深いものを生み出しました。不正なSSH接続を探しに行って、誤ってSFTPプロトコルを探しました。ポート80からポート115の外部IPアドレスに接続しているWindows Webサーバーを見つけました。
これを調査して、私は RFC913:Simple File Transfer Protocol(SFTP) を発見しました。これは、広く採用されたことのないファイル転送プロトコルであり、TFTPとFTPの間に存在することが提案され、ポート115で実行されました。IETF履歴のみを目的としてポートを記録します。
私はサーバーに対してAVといくつかのルートキットツールを実行しましたが、感染は発見されていません。
私の質問は、単純なファイル転送を利用するマルウェア、トロイの木馬などを知っている人はいますか?
パケットキャプチャを試しましたか?これにより、データがSFTPに期待するものかどうかを判断できます。
Webサーバーがサーバーへのアウトバウンド接続を実行しているのはなぜでしょうか、ポート115で知らないので、私には警戒心があり調査する価値があります。