我最近开始从Hetzner租用服务器..
我得到连续的电子邮件告诉我,我的服务器正在其他服务器上执行扫描:
“具有上述IP地址的服务器已经在Internet上的其他服务器上执行扫描。
这给networking资源带来了相当大的压力,因此,我们的一部分networking受到了不利影响“
我已经运行了clamscan和rhkit,即使更新也没有发现或检测到任何东西。
你有什么可以解决这个问题的build议吗? 有没有办法安装防火墙?
Nmap显示:
PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 31337/tcp open Elite 你在端口31337上运行的东西吗? 这看起来很可疑。
如果您的计算机已被破坏到足以执行您未启动的传出端口扫描,则添加本地防火墙不会对您有所帮助。
你最好的select是完全replace服务器。 一旦机器受到危害,几乎不可能以任何信心将其恢复到安全状态。 确保当你这样做,你已经locking了远程访问并修补了一切。
您也可以通过https://www.cisecurity.org/cis-benchmarks/查看您的操作系统的安全指导原则,以确保安全。
我同意@Jason在这里(但我的评论太长,以发表评论)。
听起来你已经安装了Back Orifice(或至less是一个现代的等价物)。 这是一个远程控制程序,可能被安装为木马程序,用于从其他地方控制服务器上的进程。
它很可能是安装在你的机器上,还有一个rootkit,以确保你不能(容易地)删除它,使你的服务器完全被破坏。 这意味着只是试图用防火墙阻止它将是徒劳的; 它可能会绕过防火墙。
你应该完全重新安装服务器(如果它是一个虚拟机,我会build议它被完全删除,并configuration一个新的,以防万一它已经安装了一个BIOS rootkit或类似的东西); 这会比试图正确地移除任何rootkit的成本更低(可能更便宜)。 当你把它恢复的时候,把防火墙放好,阻止除了你的SSH端口之外的所有入站(如果你不确定怎么做,请问你的托pipe公司最初为你做,然后再读一下),应用所有的补丁,然后安装您的应用程序和数据,configuration您的防火墙只允许访问您的应用程序(这听起来像只有networking服务器)。
我也会确保你的web服务器,应用程序和数据库已经完全修补; 您的计算机可能会通过Web应用程序受到威胁。 我也会看到关于备份你的服务器,所以如果你的服务器再次受到威胁,你可以从一个已知的好备份恢复。 (当然,您必须testing备份,以便您知道在需要时可以恢复备份!)