Mój serwer skanuje porty (windows 2003) dlaczego?

luki.4ever - 19-07-2009 14:58
Mój serwer skanuje porty (windows 2003) dlaczego?
witam,

od kilku dni dostaję z automatu OVH informację iż mój serwer dedykowany skanuje porty lub próbuje się włamać.

"Szanowni Państwo,

Nasz system monitoringu wykrył skanowanie portu i/lub próby włamań
wykonywane z serwera nsXXXXX.ovh.net.

Prosimy wyjaśnić powód nawiązywania takich połączeń
oraz usunąć luki w zabezpieczeniu Pañstwa serwera.

Jeżeli połączenia były przez Pañstwa autoryzowane,
prosimy spersonalizować rewers serwera. Więcej
informacji znajdziecie Państwo na stronie:
http://pomoc.ovh.pl/PersonalizacjaReWersu

W przypadku braku reakcji z Państwa strony,
bêdziemy zmuszeni zablokować serwer.

--------------------------- POCZ¡TEK LOGÓW ---------------------------

new scan detection

startime endtime scr:port dst:port
----------------------------------------------------------------------------------------------
2009-07-19 12:04:20 2009-07-19 12:04:20 91.121.25.110:54780 84.19.66.126:21
2009-07-19 12:04:20 2009-07-19 12:04:20 91.121.25.110:54825 84.19.66.171:21
2009-07-19 12:04:20 2009-07-19 12:04:20 91.121.25.110:54867 84.19.66.213:21
2009-07-19 12:04:20 2009-07-19 12:04:20 91.121.25.110:54878 84.19.66.224:21
2009-07-19 12:04:21 2009-07-19 12:04:21 91.121.25.110:54853 84.19.66.199:21
2009-07-19 12:04:21 2009-07-19 12:04:21 91.121.25.110:55224 84.19.68.60:21
2009-07-19 12:04:21 2009-07-19 12:04:21 91.121.25.110:55178 84.19.68.14:21
2009-07-19 12:04:21 2009-07-19 12:04:21 91.121.25.110:55221 84.19.68.57:21
2009-07-19 12:04:21 2009-07-19 12:04:21 91.121.25.110:55209 84.19.68.45:21
2009-07-19 12:04:22 2009-07-19 12:04:22 91.121.25.110:55578 84.19.69.159:21
2009-07-19 12:04:20 2009-07-19 12:04:20 91.121.25.110:54823 84.19.66.169:21

--------------------------- KONIEC LOGÓW ---------------------------

co z tym zrobić ?

z góry dziękuję za pomoc

buffi89 - 19-07-2009 15:07
winshit firewall masz wogole włączony ?? albo jakis inny firewall ?

luki.4ever - 19-07-2009 15:17
firewall miałem wyłączony, właśnie go włączyłem (tego domyślnego) i przestał mi działać serwer ftp :)

jak mogę sprawdzić co jest przyczyną tego skanowania ?

buffi89 - 19-07-2009 15:34
zobacz czy masz port ftp otwarty na fajerku domyślny 21 chyba ze masz inaczej, a co do sprawdzenia są skanery on-line, darmowe programy anty-spyware, itp, i jedziesz powinno coś znaleźć, kiedyś jak miałem win 2003 na serku to miałem podobna sytuacje to muszę przyznać ze ovh ładnie spamuje pocztę w ciagu 3 godzin przyszło prawie 1,5 tys maili :D z ostrzeżeniem:d hehee:D

dzimi - 19-07-2009 17:05
Cytat:
zobacz czy masz port ftp otwarty na fajerku domyślny 21 chyba ze masz inaczej, a co do sprawdzenia są skanery on-line, darmowe programy anty-spyware, itp, i jedziesz powinno coś znaleźć, kiedyś jak miałem win 2003 na serku to miałem podobna sytuacje to muszę przyznać ze ovh ładnie spamuje pocztę w ciagu 3 godzin przyszło prawie 1,5 tys maili :D z ostrzeżeniem:d hehee:D Ooo ;) no to juz wiemy dlaczego maile z rescue idą jak krew z nosa. Pewnie to ten sam smtp server :P

grzech_ - 19-07-2009 21:24
analizuj ruch na karcie
sprawdź co się dzieje na interface sieciowym (nawet 'netstat' Ci wystaczy), Jak znajdziesz proces (tasklist) siejący w Internet to zweryfikuj, czy go znasz oraz z jakich bibliotek korzysta (każdą dll'ke z której kozysta proces - 'tasklist' Ci wyświetli). Czy wszystkie komponenty są Ci znane, czy pochodzą od nieznanego producenta.
Jeżeli
1) wszystko co robi ruch na sieci jest Ci znane, to najwyżej masz jakiś bład w konfiguraci własnych usług
2) jezeli zlokalizujesz proces i jego komponenty jako nieznane Ci, to powiedzmy: Twój komp nie jest już Twoim kompem :o

mario1973 - 20-07-2009 09:21
Przeleć jakimś antywirusem, gmerem itp - masz pewnie jakiegoś wirusika...

M