orsz Napisano Grudzień 9, 2008 Zgłoszenie Share Napisano Grudzień 9, 2008 od 2 dni mam problem z dzialaniem internetu - stronki, poczta itp. zaczalem sie zastanawiac co moze byc nie tak..... wlazlem na serwer w sieci lokalnej (otwarte porty tylko ssh dla mojego lokalnego ip oraz http dla wszystkich) iptraf jednak pokazuje dziwne "rzeczy" - wyglada jakby jakis robak mi skanowal porty (?). jakies sugestie? ponizej kilka screenow: ze screenow widac mnie podlaczonego przez ssh, jakiegos neostradowicza pobierajacego cos z serwera (przypadkiem sie zlapal) i cos dziwnego ciagle zmieniajacego hosty i porty........ co z tym robic? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
moorray Napisano Grudzień 9, 2008 Zgłoszenie Share Napisano Grudzień 9, 2008 Sprawdzić jaki proces działa na tych portach. pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
orsz Napisano Grudzień 9, 2008 Autor Zgłoszenie Share Napisano Grudzień 9, 2008 dzieki za zainteresowanie jak mam sprawdzic jaki proces dziala na tych portach jak porty sie ciagle zmieniaja? srednio co sekunde leci nowy host/port..... ale jestem pewien ze tak czy siak mam otwarte tylko 22 i 80 (putty i stronki) Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Grudzień 10, 2008 Zgłoszenie Share Napisano Grudzień 10, 2008 Ja bym zamknął również te dwa porty, o których mówisz - przynajmniej chwilowo w celu obserwacji zachowania sieci. Chyba że wystawiasz na stałe jakiś serwer WWW, bo inaczej to nie widzę w ogóle potrzeby otwierania 80. Do przeglądania sieci wystarczy zezwolenie na połączenia "ESTABLISHED, RELATED" w iptables. A OpenSSH też bywa dziurawe. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
orsz Napisano Grudzień 10, 2008 Autor Zgłoszenie Share Napisano Grudzień 10, 2008 Chyba że wystawiasz na stałe jakiś serwer WWW, bo inaczej to nie widzę w ogóle potrzeby otwierania 80. mam stale wlaczony serwer www a ssh mam tylko dla mojego lokalnego adresu ip Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
moorray Napisano Grudzień 10, 2008 Zgłoszenie Share Napisano Grudzień 10, 2008 Skoro porty zmieniają się co sekundę to może trzeba poszukać narzędzia dającego możliwość sensownego odświeżania? Może netstat? Dodatkowo warto pokusić się o analizę tego "dziwnego" ruchu. Zapisz go tcpdumpem, i przejrzyj w wiresharku. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
qmic Napisano Grudzień 13, 2008 Zgłoszenie Share Napisano Grudzień 13, 2008 Skoro się zmieniają porty co sekundę to być może weź pod uwagę to że użytkownicy twojego serwera www są za natem i zawsze się łączą z innego portu Natomiast do skanowania to się po prostu przyzwyczaj , sprawdzaj aktualizacje, ustaw dobrze firewalla i teoretycznie nie powinieneś mieć powodów do zmartwień. W ssh wyłącz autoryzację po hasłach, używaj kluczy. Włącz selinux (właściwie nie wiem co za idioci w każdym tutorialu piszą aby to wyłączać), zapewne coś Ci nie będzie działało tak więc naucz się z niego korzystać (jest pełno fajnych narzędzi które konfigurację tego czynią banalnie prostą). Jak będziesz miał większe problemy - pisz Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się