Bekanntermaßen werden Port’s häufig mit Hacking-Versuchen attakiert.
Der Standard-Angriffsvektor ist normalerweise das Abrufen von verschiedenen Dateien von einem Web-Server um die Konfiguration rauszubekommen bzw. auf bekannte Sicherheitlücken/Dateien zuzugreifen.
Sie als Administrator brauchen dabei die Information welche Dateien / Verzeichnisse von so einer IP abgerufen werden, um einschätzen zu können, ob es sich tatsächlich um das Ausnützen einer Sicherheitslücke handelt. (Forensische Analyse).
Diese Information finden Sie im WW-Server im Pfad
bin\wws\Security\[Höchste Server-Start-Nummer]\WWFS-FILE-NOT-FOUND-[Datum].log.
In dieser Datei werden alle Dateisystem-Zugriffe bzw. Zugriffe auf das Home-Verzeichnis aufgelistet, welche nicht gefunden wurden. Hier würden Sie zum Beispiel sehen, dass auf PHP Dateien oder Konfigurations-Dateien von bekannten Server-Distribitutionen gesucht wird, aber diese nicht gefunden werden.
Falls Zugriffe erfolgreich waren, so finden Sie diese Informationen in
bin\wws\Security\[Höchste Server-Start-Nummer]\WWS-ACCESS-LOG-[Datum].log
In dem Ordner finden Sie noch weitere Log-Dateien für Login-Zugriffe WWS-LOGON-[Datum].log und falls Angriffsversuche vom WW-Server bzw. der integrierten WWS-Firewall erkannt werden sind diese in WWS-SECURITY-20211215.log
Ihre nächsten Schritte: (Forensische Analyse)
Um einen Zugriff auf Ihre Hardware/Software zu prüfen, sollten Sie nun die Dateien (oben Fett markiert) anschauen, um herauszufinden, welche Dateien bzw. Protokolle zum Zeitpunkt der Viren-Scanner Meldung abgerufen wurden.