Я использую несколько экземпляров EC2 / Scalr с мониторингом zabbix. Я получил жалобы на то, что порт одного из моих серверов сканирует другие серверы. журналы показывают, что он получает доступ к порту 22 на последовательных IP-адресах.
Я просмотрел список процессов и увидел, что scanssh запущен под пользователем Zabbix.
У меня вопрос- является ли scanssh частью zabbix? Это должно работать? У меня есть активное автообнаружение на zabbix, но оно смотрит на другие IP-адреса и определенно не на порт 20. Возможно ли, что что-то в конфигурации zabbix агента контролирует его, а не настройки на сервере zabbix?
Что я могу сделать, чтобы узнать, работает ли zabbix как-то неправильно или это хакер? Любые советы приветствуются.
scanssh определенно не является частью zabbix - на самом деле это отдельный сканер ssh (http://monkey.org/~provos/scanssh/).
похоже, что ваша учетная запись пользователя zabbix была взломана. стереть учетную запись и настроить ее заново, используя другой пароль (если, конечно, вы его использовали). также может быть полезно выяснить, какую именно версию zabbix вы используете
Это может быть связано с проблемой внедрения SQL в <1.8.1 http://www.securityfocus.com/archive/1/510480