Мой сервер, кажется, был взломан + scanssh запущен zabbix это нормально?
Я использую несколько экземпляров EC2/Scalr с мониторингом zabbix. Я получил жалобы на сканирование портов одного из моих серверов на других серверах. журналы показывают, что он обращается к порту 22 по последовательным IP-адресам.
Я посмотрел на список процессов и увидел, что scanssh работает под пользователем Zabbix.
Мой вопрос: является ли scanssh частью zabbix? Это должно бежать? У меня есть активное автообнаружение на zabbix, но он просматривает другие IP-адреса и определенно не порт 20. Возможно ли, что что-то в конфигурации агента zabbix управляет им, а не настройками на zabbix сервере?
Что я могу сделать, чтобы узнать, что zabbix как-то плохо себя ведет или это хакер? Любой совет высоко ценится.
2 ответа
scanssh определенно не является частью zabbix - на самом деле это отдельный ssh-сканер ( http://monkey.org/~provos/scanssh/).
похоже, ваша учетная запись zabbix была взломана. стереть учетную запись и заново настроить ее, используя другой пароль (если, конечно, вы его использовали). также может быть полезно выяснить, какую версию zabbix вы используете
Это может быть связано с проблемой внедрения SQL в <1.8.1 http://www.securityfocus.com/archive/1/510480