我一直在看我的日志(Ubuntu 9.10 服务器),不知道你们中的任何人,但我从俄罗斯、罗马尼亚等来源获得了大量流量。在端口 11370 上(我的 iptables 正在登录它。但是只是好奇)。
一些谷歌搜索揭示了这个信息:
http : //www.keysigning.org/sks/ - 这似乎使用端口 11370 和 11371
那可能是他们正在扫描的服务(我不运行它)吗?
ICS 显示:https ://isc.incidents.org/port.html?port=11370
只是好奇你们是怎么想的,如果有人以前看过这个?如果需要,我可以在这里发布我的日志,但它只是来自各种 IP 的 TCP 端口 11370 的丢弃日志。
觉得这很奇怪,因为那是我似乎反复被击中的唯一端口(来自日志)。
如果这对任何人都很重要,我正在 Linode (VPS) 上运行。
打开(
socat -v tcp-l:11370,reuseaddr -)这个端口并观察它的走向或者,将流量重定向到某处以使用
iptables./* 注意:评论和投票是针对其他更简短的表述 */
也许这是对运行在其上的服务的一些新的零日漏洞利用,或者是某种后门老鼠。结帐http://www.dshield.org/trends.html。考虑向他们提供防火墙日志。
如果您在服务器上想要检查进程是否正在侦听该端口,只需执行
网络统计-l -p -d | grep 11370
如果你看到未知的端口号在做
猫 /etc/服务 | grep 11370
在我的机器上出现空白。
我认为(如果它仍然可用)Windows 上的 tcpview.exe 可以完成同样的工作。