Escaneado de puertos en logs access del servidor, Masscan Github

Están ocurriendo con cierta frecuencia, un escaneado en los servidores en busca de puertos abiertos con Masscan. Puede ser fines comerciales, o simplemente intento de hackeo. En cualquier caso, creo que es un aspecto a mantener bajo control con el fin de obtener mejor seguridad.

Para evitarlo, intentar tener los mínimos puertos abiertos con la configuración iptables y ayuda de UFW Firewall, y un sistema de baneo como fail2ban ayudarán con la prevención.

Los accesos en este caso utilizan un aplicativo gratuito de código abierto, disponible en el repositorio de Github, se facilita esta identificación del software porque el usuario que lo lanza no está modificado el useragent que viene por defecto:

https://github.com/robertdavidgraham

Todo esto viene explicado con intervención del autor del software Masscan en el issue de github, claramente el autor no tiene culpa alguna del uso que algunos le den a su software:

https://github.com/robertdavidgraham/masscan/issues/367

Esta misma herramienta puede configurarse para probar accesos a gran velocidad contra la página de acceso de administrador. La URL de acceso administrador, podría aparecer en el log con varios intentos por segundo. Una posible solución sería no tener el panel de administración en una ubicación por defecto, sino que sea personalizada.

Categorías: Servidor Web Linux

Etiquetas: