Кто ломится на TCP-порт 19262?

Автор Gamliel, 19 января 2020, 21:47:27

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Gamliel

Имеется VPS; Debian Buster, Nftables. Входящие соединения по умолчанию запрещены и журналируются. И вот в журнале в значительном количестве (2450 записей за тридцать семь с половиной часов) стали появляться строки вида
IN=ens3 OUT= MAC=**:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=95.216.96.235 DST=***.***.***.*** LEN=44 TOS=0x00 PREC=0x00 TTL=59 ID=6965 PROTO=TCP SPT=50002 DPT=19262 WINDOW=16384 RES=0x00 ACK SYN URGP=0
IN=ens3 OUT= MAC=**:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=116.202.8.207 DST=***.***.***.*** LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=764 PROTO=TCP SPT=50002 DPT=19262 WINDOW=16384 RES=0x00 ACK SYN URGP=0

(MAC и IP-адрес сервера я скрыл).
Во всех без исключения случаях исходящий порт 50002, входящий 19262. Почти все попытки подключения происходят с а́дреса 95.216.96.235, только 77 попыток (3%) с а́дреса 116.202.8.207 (оба находятся у Hetzner'а; static.235.96.216.95.clients.your-server.de соответственно static.207.8.202.116.clients.your-server.de).

Это явно не сканирование портов, и вообще не похоже на злоумышленников. Такое впечатление, что программа на той стороне убеждена, что на моём сервере что-то должно слушать TCP-порт 19262.

Я предположил, что мой сервер иногда обращается на эти по́рты или эти адреса́, и добавил в  chain output  правила
tcp sport { 19262, 50002 } counter log prefix "Enigma: "
tcp dport { 19262, 50002 } counter log prefix "Enigma: "
ip daddr { 95.216.96.235, 116.202.8.207 } counter log prefix "Enigma: "

(лучшего названия, чем «загадка», не придумал). И ничего.

Кто-нибудь знает, что это?

red_rain


Kato

ЦитироватьВо всех без исключения случаях исходящий порт 50002, входящий 19262
Такое впечатление, что программа на той стороне убеждена, что на моём сервере что-то должно слушать TCP-порт 19262.
не на "той", а на этой.
смотри приложение, которое инициирует исходящий

dzhoser

Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Gamliel

Цитата: dzhoser от 05 июня 2020, 21:28:44
sudo netstat -pt
Разве netstat  показывает попытки, не пропущенные файрволлом?

endru

Да можно не париться о таких соединениях, они опасности не представляют.
В сети много серверов, которые настроили через одно место, и есть куча гипервизоров которым не корректно указали локальную сеть, в итоге серваки думают что интернет это их локалка и ищут сетевые хранилища