我刚刚收到托管公司的一封电子邮件,告诉我我违反了他们的可接受使用政策。
他们向我转发了一封来自另一家公司的电子邮件,抱怨与“TCP 扫描端口 22”有关。他们包含了他们日志中的一个片段,
20:29:43 <MY_SERVER_IP> 0.0.0.0 [TCP-SWEEP]
(total=325,dp=22,min=212.1.191.0,max=212.1.191.255,Mar21-20:26:34,Mar21-20:26:34)
(USI-amsxaid01)
现在,我的服务器知识充其量是有限的,我完全不知道这是什么或可能导致它的原因。
任何帮助将不胜感激!
谢谢
听起来他们在说您的机器正在扫描其他机器上的 TCP 端口 22。如果您没有配置您的服务器来执行此操作,那么其他人会执行此操作。您的计算机可能已被入侵并安装了恶意的第三方软件。
如果是这种情况,是时候调平机器、重新加载操作系统并从良好的备份中恢复数据了。您还应该进行一些分析以确定危害的根本原因并防止它在将来发生(即在您恢复它之后,当另一个僵尸出现并再次危害它时)。
实际上,如果您不知道如何做这些事情,那么您确实需要保留知道如何做的人的服务。让您的服务器配置最少的软件安装量,以尽可能最安全的方式进行配置(最低权限、无默认密码、禁用不必要的特性/功能等),并定期安装安全补丁程序,这将有助于防止这种情况发生类似的事情不会再次发生。
让专业人员检查您的服务器。您可能必须重新安装它 - 因为您有一个 root 工具包或其他东西。通常服务器不会扫描。我会拿走我信任的所有东西并使用新的安装映像杀死服务器 - 比检查更快。
然后聘请一些管理员来管理您的服务器。我相信您的托管服务提供商已经在他们处理管理的地方管理了托管服务。
您的陈述大意是“警察逮捕了我,因为我没有驾驶执照,基本上我不知道如何开车,我该怎么办”。在互联网上运行服务器并非易事,“不知道这是什么”在这里对您没有帮助。
基本上,使用托管服务器(如果您的托管服务提供商提供)比您可以上吊的服务器更好。