我目前正试图清理并保护一台运行pnscan的服务器。 pnscan的这个实例是由最有可能将我们的服务器用作端口扫描僵尸networking的一部分的外部用户安装的。 它似乎能够将它的二进制文件写入/ dev / shm和/ tmp。
这是“lsof | grep pnscan”的输出:
[email protected]:/home/bitnami# lsof | grep pnscan pnscan 9588 daemon cwd DIR 8,1 4096 647169 /tmp pnscan 9588 daemon rtd DIR 8,1 4096 2 / pnscan 9588 daemon txt REG 8,1 18468 647185 /tmp/pnscan pnscan 9588 daemon mem REG 8,1 42572 418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so pnscan 9588 daemon mem REG 8,1 1421892 418349 /lib/tls/i686/nosegneg/libc-2.11.1.so pnscan 9588 daemon mem REG 8,1 79676 418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so pnscan 9588 daemon mem REG 8,1 117086 418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so pnscan 9588 daemon mem REG 8,1 113964 402913 /lib/ld-2.11.1.so pnscan 9588 daemon 0r CHR 1,3 0t0 705 /dev/null pnscan 9588 daemon 1w CHR 1,3 0t0 705 /dev/null pnscan 9588 daemon 2w FIFO 0,8 0t0 37499 pipe pnscan 9588 daemon 3r REG 8,1 203 516243 /opt/bitnami/apache2/cgi-bin/php-cgi pnscan 9588 daemon 4u REG 0,15 0 37558 /dev/shm/.x pnscan 9588 daemon 5u IPv4 37559 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:52617->lab1.producao.uff.br:www (ESTABLISHED) pnscan 9588 daemon 6u IPv4 3688467 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:55926->200.25.69.27:www (SYN_SENT) 这里是“ps aux | grep pnscan”的输出:
daemon 9588 2.3 0.1 3116204 3272 ? Sl 21:42 1:55 /tmp/pnscan -rApache -wHEAD / HTTP/1.0\r\n\r\n 200.0.0.0/8 80
任何意见,我们如何能find这个来源将不胜感激。
谢谢!
通常,受损的服务器是
即使您看似清理干净,在生产中也不会放弃妥协的机器,这是不安全的做法
它看起来像这个“pnscan”代码从UID 9588运行。
你可以设置一个iptables指令来匹配这个UID并且丢弃任何传出的stream量。 或locking到只有传出的TCP / 80和TCP / 22或东西….