현재 pnscan이 실행 중인 서버를 정리하고 보안을 유지하려고 합니다. 이 pnscan 인스턴스는 포트 스캐닝 봇넷의 일부로 당사 서버를 사용할 가능성이 가장 높은 외부 당사자에 의해 설치되었습니다. /dev/shm 및 /tmp에 바이너리를 쓸 수 있는 것 같습니다.
"lsof | grep pnscan"의 출력은 다음과 같습니다.
[email protected]:/home/bitnami# lsof | grep pnscan
pnscan 9588 daemon cwd DIR 8,1 4096 647169 /tmp
pnscan 9588 daemon rtd DIR 8,1 4096 2 /
pnscan 9588 daemon txt REG 8,1 18468 647185 /tmp/pnscan
pnscan 9588 daemon mem REG 8,1 42572 418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so
pnscan 9588 daemon mem REG 8,1 1421892 418349 /lib/tls/i686/nosegneg/libc-2.11.1.so
pnscan 9588 daemon mem REG 8,1 79676 418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so
pnscan 9588 daemon mem REG 8,1 117086 418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so
pnscan 9588 daemon mem REG 8,1 113964 402913 /lib/ld-2.11.1.so
pnscan 9588 daemon 0r CHR 1,3 0t0 705 /dev/null
pnscan 9588 daemon 1w CHR 1,3 0t0 705 /dev/null
pnscan 9588 daemon 2w FIFO 0,8 0t0 37499 pipe
pnscan 9588 daemon 3r REG 8,1 203 516243 /opt/bitnami/apache2/cgi-bin/php-cgi
pnscan 9588 daemon 4u REG 0,15 0 37558 /dev/shm/.x
pnscan 9588 daemon 5u IPv4 37559 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:52617->lab1.producao.uff.br:www (ESTABLISHED)
pnscan 9588 daemon 6u IPv4 3688467 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:55926->200.25.69.27:www (SYN_SENT)
"ps aux | grep pnscan"의 출력은 다음과 같습니다.
daemon 9588 2.3 0.1 3116204 3272 ? Sl 21:42 1:55 /tmp/pnscan -rApache -wHEAD / HTTP/1.0\r\n\r\n 200.0.0.0/8 80
이 소스를 찾는 방법에 대한 조언을 주시면 감사하겠습니다.
감사해요!
답변1
일반적으로 손상된 서버는 다음과 같습니다.
- 폐쇄된 연구실에서 추가 조사를 위해 이미지로 백업
- 생산을 계속하기 위해 이미지를 다시 설치하거나 재설치/복원했습니다.
겉으로는 깨끗이 청소하더라도 손상된 기계를 프로덕션 환경에 두는 것은 안전한 관행이 아닙니다.
답변2
이 "pnscan" 코드는 UID 9588에서 실행되는 것 같습니다.
이 UID와 일치하도록 iptables 지시어를 설정하고 나가는 트래픽을 삭제할 수 있습니다. 또는 나가는 tcp/80 및 tcp/22 등으로만 잠그십시오....