В настоящее время я пытаюсь очистить и обезопасить сервер, на котором запущен pnscan. Этот экземпляр pnscan был установлен внешней стороной, которая, скорее всего, использовала наш сервер как часть ботнета сканирования портов. Похоже, он может записывать свои двоичные файлы в /dev/shm и /tmp.
Вот вывод «lsof | grep pnscan»:
[email protected]:/home/bitnami# lsof | grep pnscan
pnscan 9588 daemon cwd DIR 8,1 4096 647169 /tmp
pnscan 9588 daemon rtd DIR 8,1 4096 2 /
pnscan 9588 daemon txt REG 8,1 18468 647185 /tmp/pnscan
pnscan 9588 daemon mem REG 8,1 42572 418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so
pnscan 9588 daemon mem REG 8,1 1421892 418349 /lib/tls/i686/nosegneg/libc-2.11.1.so
pnscan 9588 daemon mem REG 8,1 79676 418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so
pnscan 9588 daemon mem REG 8,1 117086 418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so
pnscan 9588 daemon mem REG 8,1 113964 402913 /lib/ld-2.11.1.so
pnscan 9588 daemon 0r CHR 1,3 0t0 705 /dev/null
pnscan 9588 daemon 1w CHR 1,3 0t0 705 /dev/null
pnscan 9588 daemon 2w FIFO 0,8 0t0 37499 pipe
pnscan 9588 daemon 3r REG 8,1 203 516243 /opt/bitnami/apache2/cgi-bin/php-cgi
pnscan 9588 daemon 4u REG 0,15 0 37558 /dev/shm/.x
pnscan 9588 daemon 5u IPv4 37559 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:52617->lab1.producao.uff.br:www (ESTABLISHED)
pnscan 9588 daemon 6u IPv4 3688467 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:55926->200.25.69.27:www (SYN_SENT)
А вот вывод «ps aux | grep pnscan»:
daemon 9588 2.3 0.1 3116204 3272 ? Sl 21:42 1:55 /tmp/pnscan -rApache -wHEAD / HTTP/1.0\r\n\r\n 200.0.0.0/8 80
Будем очень признательны за любые советы о том, как найти источник этой проблемы.
Спасибо!
решение1
Обычно скомпрометированный сервер
- сохранено как изображение для дальнейшего исследования в закрытой лаборатории
- пересоздан или переустановлен/восстановлен, чтобы продолжить производство
Оставлять неисправную машину в рабочем состоянии, даже если вы ее, казалось бы, почистили, небезопасно.
решение2
похоже, что этот код «pnscan» запущен с UID 9588.
вы можете настроить директиву iptables для сопоставления с этим UID и ОТБРАСЫВАНИЯ любого исходящего трафика. или ограничить исходящий трафик только TCP/80 и TCP/22 или что-то в этом роде...