Вероятнее всего ищут открытый порт.
Для чего вообще сканируют эти порты? Я отвечу эти порты обычно используют трояны и програмы типа backdoor (по русски задняя дверь
или черный ход как тебе угоднее). Вероятнее всего атакующий прослушивает порты на которые настроен тот илли иной тороян или программа для взлома сервера.
Просканируй сам порты и посмотри что открыто закрой их и забудь про сканы. Если так уж хочется поймать этого юнного хакера отследи логи с какого ip сканили. Зайди на этот ip и проверь систему на наличие програм и ключей в реестре проверь аудит он тебе наверняка подскажит кто это делал. Дальше дело техники. Взять биту и ждать этого хакера за углом, надовать по голове и сказать что коль хочет еще раз то пускай сканит
