UBLink技術團隊討論區

你好：
今天看到syslog有個訊息：
Open port: 114.79.16.57:21268 -> 192.168.95.99:80 (TCP) Web
跟
Open port: 37.140.141.5:57563 -> 192.168.95.99:80 (TCP) Web
Open port: 180.245.245.240:15036 -> 192.168.95.99:80 (TCP) Web
....很多個

這是單純的連線呢？還是在入侵呢？
謝謝：
ps：192.168.95.99之前有提供web與ssh的服務，不過已經離線一個多星期了。

NAT
Open port

把他關一下

謝謝回應。已經把所有nat--開放通訊埠，裡面的關掉了。

如果，之後192.168.95.99這台機器還要上線（由實體ip對應到99這一台的web，ssh）

那是不是還要打開。

這時候還有這個訊息的話，要怎麼處理呢？

謝謝！

Open port: 37.140.141.5:57563 -> 192.168.95.99:80 (TCP) Web

這是Access log

不是Hack Alarm

不用緊張

謝謝！

Welcome

你好：
我在2920n下面有數台電腦，最近幾個星期以來，一直被通報說：『2920n所使用的實體ip，開啟有木馬特徵的網頁，會去攻擊其他外部ip的電腦』，導致2920n的對

外ip被封鎖。那我現在要怎樣查出來是2920n底下哪一台電腦出問題呢？（我有把底下的電腦都重灌過了，過一陣子還是會發生）

我有開啟syslog紀錄。但是看不太懂....（是否要安裝Smart Monitor 才可以看到比較詳細的資料呢？）

ps：我知道這個問題很大，可是我真的不知道怎麼下手來處理。只好上來提問。

謝謝！

Smart Monitor
比較容易看懂

syslog也可以

你好:
去看了syslog之後，發現192.168.94.190這台機器有問題，經過『 192.168.94.190:123 -> 64.4.10.33:123 (UDP)』後，就開始一直有對外連線

直到對外ip被封鎖為止。請問這樣的解讀對嗎？

問題1：再14：15：14的時候，『Local User: 66.203.122.14:80 -> 192.168.94.190:1070 (TCP) close connection』

這一行訊息怎麼66.203.122.14會變成local user呢？

問題2：在網頁管理模式看存在usb的log時，檔案夾只能選001，所以只有看到5/13號的syslog。用usb-ftp瀏覽也是一樣。

但是，把usb拔下來，接到電腦的時候，又可以看到5/21（今天）的syslog。這樣是哪裡有問題呢？

謝謝你！
---------------------------------------------------------------

多Session同Port是比較有問題
但是單一Session也是也有可能的
Local User只是標記
經NAT轉換

只要看來源 ip port
目標IP Port

詳細溝通了什麼要靠Sniffer/Wireshark 完整封包

SmartMonitor可以看出大部份的包