web-dev-qa-db-ja.com

シンプルなファイル転送プロトコル

私のSIEMは興味深いものを生み出しました。不正なSSH接続を探しに行って、誤ってSFTPプロトコルを探しました。ポート80からポート115の外部IPアドレスに接続しているWindows Webサーバーを見つけました。

これを調査して、私は RFC913:Simple File Transfer Protocol(SFTP) を発見しました。これは、広く採用されたことのないファイル転送プロトコルであり、TFTPとFTPの間に存在することが提案され、ポート115で実行されました。IETF履歴のみを目的としてポートを記録します。

私はサーバーに対してAVといくつかのルートキットツールを実行しましたが、感染は発見されていません。

私の質問は、単純なファイル転送を利用するマルウェア、トロイの木馬などを知っている人はいますか?

4
Snark Knight

パケットキャプチャを試しましたか?これにより、データがSFTPに期待するものかどうかを判断できます。

Webサーバーがサーバーへのアウトバウンド接続を実行しているのはなぜでしょうか、ポート115で知らないので、私には警戒心があり調査する価値があります。

1
Joe M