Как я могу заблокировать вредоносный сканер портов, который в настоящее время работает на моем сервере?

В настоящее время я пытаюсь очистить и обезопасить сервер, на котором запущен pnscan. Этот экземпляр pnscan был установлен сторонней организацией, которая, скорее всего, будет использовать наш сервер как часть ботнета сканирования портов. Кажется, он может записывать свои двоичные файлы в /dev/shm и /tmp.

Вот вывод "lsof | grep pnscan":

root@xxx.xxxx.xxx:/home/bitnami# lsof | grep pnscan
pnscan     9588     daemon  cwd       DIR    8,1      4096      647169 /tmp
pnscan     9588     daemon  rtd       DIR    8,1      4096      2      /
pnscan     9588     daemon  txt       REG    8,1      18468     647185 /tmp/pnscan
pnscan     9588     daemon  mem       REG    8,1      42572     418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1    1421892     418349 /lib/tls/i686/nosegneg/libc-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1      79676     418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1     117086     418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1     113964     402913 /lib/ld-2.11.1.so
pnscan     9588     daemon    0r      CHR    1,3        0t0     705    /dev/null
pnscan     9588     daemon    1w      CHR    1,3        0t0     705    /dev/null
pnscan     9588     daemon    2w     FIFO    0,8        0t0     37499  pipe
pnscan     9588     daemon    3r      REG    8,1        203     516243 /opt/bitnami/apache2/cgi-bin/php-cgi
pnscan     9588     daemon    4u      REG    0,15         0      37558 /dev/shm/.x
pnscan     9588     daemon    5u     IPv4    37559      0t0     TCP  domU-12-31-39-14-41-41.compute-1.internal:52617->lab1.producao.uff.br:www (ESTABLISHED)
pnscan     9588     daemon    6u     IPv4    3688467    0t0     TCP  domU-12-31-39-14-41-41.compute-1.internal:55926->200.25.69.27:www (SYN_SENT)

И вот вывод "ps aux | grep pnscan":

daemon    9588  2.3  0.1 3116204 3272 ?        Sl   21:42   1:55  /tmp/pnscan -rApache -wHEAD / HTTP/1.0\r\n\r\n 200.0.0.0/8 80

Любой совет о том, как мы можем найти источник этого, будет принята с благодарностью.

Спасибо!

Источник

2 ответа

Обычно взломанный сервер

  1. резервное копирование в качестве изображения для дальнейшего исследования в закрытой лаборатории
  2. переоборудован или переустановлен / восстановлен, чтобы поддерживать производство

Оставлять скомпрометированную машину, даже если вы, казалось бы, очищаете ее, на производстве, не является безопасной практикой

Источник

Похоже , что этот код "pnscan" выполняется с UID 9588.

Вы можете настроить директиву iptables для сопоставления этого UID и DROP с любым исходящим трафиком. или заблокировать только для исходящих TCP /80 и TCP /22 или что-то....

Источник
Другие вопросы по тегам