Я недавно начал арендовать сервер у Hetzner ..
Я постоянно получаю электронные письма с сообщениями о том, что мой сервер выполняет сканирование на других серверах:
"Ваш сервер с вышеупомянутым IP-адресом выполнил сканирование на других серверах в Интернете.
Это создало значительную нагрузку на сетевые ресурсы и, как следствие, пострадал сегмент нашей сети "
Я запустил clamscan и rhkit, ничего не обнаружено и не обнаружено даже с обновлениями.
У вас есть какие-нибудь советы, как я могу решить эту проблему? Есть ли способ установить фаервол ???
Nmap показывает:
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
31337/tcp open Elite
У вас что-то запущено на порту 31337? Это выглядит подозрительно.
Если ваша машина настолько повреждена, что может выполнять сканирование исходящих портов, которое вы не инициируете, добавление локального брандмауэра вам не поможет.
Лучше всего заменить сервер полностью. Как только машина взломана, практически невозможно вернуть ее в безопасное состояние с какой-либо уверенностью. Когда вы это сделаете, убедитесь, что вы заблокировали удаленный доступ и все исправили.
Вы также можете ознакомиться с инструкциями по безопасности для своей ОС по адресу https://www.cisecurity.org/cis-benchmarks/ чтобы защитить его.
Я согласен с @Jason (но мой комментарий был слишком длинным для публикации в качестве комментария).
Похоже, у вас установлено Back Orifice (или, по крайней мере, его современный эквивалент). Это программа удаленного управления, вероятно, установленная как троян, используемая для управления процессами на вашем сервере из другого места.
Скорее всего, он установлен на вашем компьютере вместе с руткитом, чтобы вы не могли (легко) удалить его, оставляя ваш сервер полностью скомпрометированным. Это означает, что просто попытка заблокировать его с помощью брандмауэра будет бесполезной; он, вероятно, все равно обойдет брандмауэр.
Вы должны полностью переустановить сервер (если это виртуальная машина, я бы посоветовал полностью удалить ее и подготовить новую на случай, если он установил руткит BIOS или что-то подобное); это потребует меньше усилий (и, вероятно, дешевле), чем пытаться удалить все руткиты должным образом. Когда вы его вернете, включите брандмауэр и заблокируйте все входящие сообщения, кроме вашего SSH-порта (если вы не знаете, как это сделать, сначала попросите свою хостинговую компанию сделать это за вас, а затем прочтите об этом), примените все исправления, а затем установите свои приложения и данные, настроив брандмауэр только для разрешения доступа к вашему приложению (что звучит так, как будто это всего лишь веб-сервер).
Я также хотел бы убедиться, что ваш веб-сервер, приложение и база данных полностью исправлены; возможно, ваша машина была взломана через веб-приложение. Я бы также позаботился о резервном копировании вашего сервера, поэтому, если ваш сервер снова будет скомпрометирован, вы можете восстановить его из известной хорошей резервной копии. (Конечно, вам придется протестировать резервные копии, чтобы знать, что они восстановят, когда они вам понадобятся!)