Доброго времени суток!
Получил от хетзнера "письмо счастья".
В кратце, письмо о том, что с моего сервера идет атака. Сервер отправлял запросы на 80 порт на две подсети, по крайней мере в том отрывке лога что был прислан.
----- attachment -----
##########################################################################
# Netscan detected from host xxx.xxx.xxx.xxx #
##########################################################################
time protocol src_ip src_port dest_ip dest_port
---------------------------------------------------------------------------
Wed Dec 4 21:22:24 2013 TCP xxx.xxx.xxx.xxx 8835 => yyy.yyy.yyy.yyy 80
Wed Dec 4 21:22:49 2013 TCP xxx.xxx.xxx.xxx 28726 => yyy.yyy.yyy.yyy 80
Wed Dec 4 21:22:07 2013 TCP xxx.xxx.xxx.xxx 15211 => yyy.yyy.yyy.yyy 80
Wed Dec 4 21:23:27 2013 TCP xxx.xxx.xxx.xxx 34591 => yyy.yyy.yyy.yyy 80
Wed Dec 4 21:23:27 2013 TCP xxx.xxx.xxx.xxx 34591 => yyy.yyy.yyy.yyy 80
Раньше с таким не приходилось сталкиваться. Подскажите варианты диагностики или может кто с таким сталкивался, если ли решения какие-нибудь?
Примерно недели две-три назад делал обновление программного обеспечения на сервере.
З.Ы. Поставил Rkhunter, прошел, ничего подозрительного не было, вроде.
З.Ы.Ы. Ось: CentOS 6.5, Сервер находится у Hetzner, подключен репозиторий атомик.
Благодарю заранее.