В настоящее время я пытаюсь очистить и защитить сервер, на котором работает pnscan. Этот экземпляр pnscan был установлен внешней стороной, которая, скорее всего, будет использовать наш сервер как часть ботнета для сканирования портов. Кажется, можно записать двоичные файлы в / dev / shm и / tmp.
Вот результат "lsof | grep pnscan":
root@xxx.xxxx.xxx:/home/bitnami# lsof | grep pnscan
pnscan 9588 daemon cwd DIR 8,1 4096 647169 /tmp
pnscan 9588 daemon rtd DIR 8,1 4096 2 /
pnscan 9588 daemon txt REG 8,1 18468 647185 /tmp/pnscan
pnscan 9588 daemon mem REG 8,1 42572 418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so
pnscan 9588 daemon mem REG 8,1 1421892 418349 /lib/tls/i686/nosegneg/libc-2.11.1.so
pnscan 9588 daemon mem REG 8,1 79676 418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so
pnscan 9588 daemon mem REG 8,1 117086 418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so
pnscan 9588 daemon mem REG 8,1 113964 402913 /lib/ld-2.11.1.so
pnscan 9588 daemon 0r CHR 1,3 0t0 705 /dev/null
pnscan 9588 daemon 1w CHR 1,3 0t0 705 /dev/null
pnscan 9588 daemon 2w FIFO 0,8 0t0 37499 pipe
pnscan 9588 daemon 3r REG 8,1 203 516243 /opt/bitnami/apache2/cgi-bin/php-cgi
pnscan 9588 daemon 4u REG 0,15 0 37558 /dev/shm/.x
pnscan 9588 daemon 5u IPv4 37559 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:52617->lab1.producao.uff.br:www (ESTABLISHED)
pnscan 9588 daemon 6u IPv4 3688467 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:55926->200.25.69.27:www (SYN_SENT)
А вот результат "ps aux | grep pnscan":
daemon 9588 2.3 0.1 3116204 3272 ? Sl 21:42 1:55 /tmp/pnscan -rApache -wHEAD / HTTP/1.0\r\n\r\n 200.0.0.0/8 80
Мы будем очень благодарны за любые советы о том, как найти источник этого.
Спасибо!
Обычно скомпрометированный сервер
Оставлять скомпрометированную машину на производстве, даже если вы, казалось бы, почистите ее, небезопасно.
похоже, что этот код "pnscan" работает с UID 9588.
вы можете настроить директиву iptables для сопоставления с этим UID и отбрасывать любой исходящий трафик. или заблокировать только исходящие tcp / 80 и tcp / 22 или что-то в этом роде ....