¿Cómo puedo bloquear un escáner de puertos malicioso que se ejecuta actualmente en mi servidor?

tag-icon tag-icon linux security botnet
¿Cómo puedo bloquear un escáner de puertos malicioso que se ejecuta actualmente en mi servidor?

Actualmente estoy intentando limpiar y proteger un servidor que tiene pnscan ejecutándose. Esta instancia de pnscan fue instalada por un tercero que probablemente usará nuestro servidor como parte de una botnet de escaneo de puertos. Parece poder escribir sus archivos binarios en/dev/shm y/tmp.

Aquí está el resultado de "lsof | grep pnscan":

[email protected]:/home/bitnami# lsof | grep pnscan
pnscan     9588     daemon  cwd       DIR    8,1      4096      647169 /tmp
pnscan     9588     daemon  rtd       DIR    8,1      4096      2      /
pnscan     9588     daemon  txt       REG    8,1      18468     647185 /tmp/pnscan
pnscan     9588     daemon  mem       REG    8,1      42572     418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1    1421892     418349 /lib/tls/i686/nosegneg/libc-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1      79676     418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1     117086     418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1     113964     402913 /lib/ld-2.11.1.so
pnscan     9588     daemon    0r      CHR    1,3        0t0     705    /dev/null
pnscan     9588     daemon    1w      CHR    1,3        0t0     705    /dev/null
pnscan     9588     daemon    2w     FIFO    0,8        0t0     37499  pipe
pnscan     9588     daemon    3r      REG    8,1        203     516243 /opt/bitnami/apache2/cgi-bin/php-cgi
pnscan     9588     daemon    4u      REG    0,15         0      37558 /dev/shm/.x
pnscan     9588     daemon    5u     IPv4    37559      0t0     TCP  domU-12-31-39-14-41-41.compute-1.internal:52617->lab1.producao.uff.br:www (ESTABLISHED)
pnscan     9588     daemon    6u     IPv4    3688467    0t0     TCP  domU-12-31-39-14-41-41.compute-1.internal:55926->200.25.69.27:www (SYN_SENT)

Y aquí está el resultado de "ps aux | grep pnscan":

daemon    9588  2.3  0.1 3116204 3272 ?        Sl   21:42   1:55  /tmp/pnscan -rApache -wHEAD / HTTP/1.0\r\n\r\n 200.0.0.0/8 80

Cualquier consejo sobre cómo podemos encontrar la fuente de esto sería muy apreciado.

¡Gracias!

Respuesta1

Normalmente, un servidor comprometido es

  1. respaldado como una imagen para una mayor investigación en un laboratorio cerrado
  2. reimaginado o reinstalado/restaurado, para mantener la producción en marcha

Dejar una máquina comprometida, incluso si aparentemente la limpia, en producción, no es una práctica segura

Respuesta2

Parece que este código "pnscan" se ejecuta desde UID 9588.

puede configurar una directiva iptables para que coincida con este UID y BORRAR cualquier tráfico saliente. o bloquear solo las salidas tcp/80 y tcp/22 o algo así...

información relacionada