我使用zabbix监控运行一些EC2 / Scalr实例。 我收到有关我的一个服务器端口扫描其他服务器的投诉。 日志显示它在连续的IP地址上访问端口22。
我看着进程列表,看到scanssh正在用户Zabbix下运行。
我的问题是 – scanssh zabbix的一部分? 它运行得好吗? 我有zabbix主动自动发现,但它正在查看另一个IP地址,并明确不是端口20.是否有可能在zabbix代理的configuration中的东西是控制它,而不是在zabbix服务器上的设置?
我能做些什么来确定zabbix是否行为不当或者是黑客? 任何意见是高度赞赏。
scanssh绝对不是zabbix的一部分 – 它实际上是一个单独的ssh扫描器( http://monkey.org/~provos/scanssh/ )。
它看起来像你的zabbix用户帐户已被泄漏。 擦除帐户,并使用不同的密码重新设置(如果您使用了一个密码)。 弄清楚你正在运行哪个版本的zabbix也是有帮助的