来自VM用户的端口扫描

Question

在收到我的服务器提供商的滥用通知后，我想知道他们是如何检查我所有的流量并发送给我这些滥用信息的。我想知道是否有某种软件可以下载，这样我就可以阻止我的客户进行恶意活动。或者至少在我的提供者杀死我之前注意到我。

我见过一些东西，如Snort、NodeWatch和VPSmon，但它们中没有一个是端口扫描中的“控制”VPS机器。

这里的任何帮助都是非常感谢的。

编辑:我不是试图阻止人们从外部到端口扫描，而是让人们从内部到端口扫描互联网，AKA我的客户端不做恶意活动:)

Answer 1

使用所谓的PSAD，它现在阻塞端口扫描。pSAD检查日志，您可以设置危险级别，例如: 15扫描= level1，50扫描= level2等等。并被告知一定程度的危险。

如果您对端口扫描有任何问题，我强烈建议您查看pSAD http://cipherdyne.org/psad/

它会自动进行入侵检测，您不需要改变IP表中的内容，因为它会处理这个问题。

感谢@ecelis，感谢他对这个发现的评论。

Answer 2

出站ACL的

在我们的防火墙中，配置出站ACL，以便用户只能使用您允许的Internet上的服务。

我认为带有any>any的出站端口http和https规则是可以的。DNS将在内部使用(我的假设)，这可能会解决您的问题。

Answer 3

因为您是一个VPS提供程序，而且我假设您的客户可以在他们的VPS上扎根，所以您在网络堆栈上几乎没有什么可以做的，因为过滤不会阻止或检测所有的东西，而且很可能您会得到很多错误的诗句。您可以将iptables配置为在短时间间隔内筛选某些重复tcp标志，记录它们并使用某些东西发送通知。

只有我能想到的其他解决方案是使用rootkit扫描器(如https://rootkit.nl/projects/rootkit_hunter.html或类似的)扫描客户文件系统，寻找了解的工具。但你可能会面临来自你客户的隐私问题。