我正在运行几个带有 zabbix 监控的 EC2/Scalr 实例。我收到了有关我的一台服务器端口扫描其他服务器的投诉。日志显示它正在访问连续 IP 地址上的端口 22。
我查看了进程列表,发现 scanssh 正在用户 Zabbix 下运行。
我的问题是 - scanssh 是 zabbix 的一部分吗?它应该运行吗?我在 zabbix 上启用了自动发现,但它正在查看另一个 IP 地址,而且肯定不是端口 20。是否有可能是 zabbix 代理配置中的某些东西在控制它,而不是 zabbix 服务器上的设置?
我该怎么做才能查明 zabbix 是否行为不当或是否是黑客?任何建议都非常感谢。
答案1
scanssh 绝对不是 zabbix 的一部分 - 它实际上是一个单独的 ssh 扫描器(http://monkey.org/~provos/scanssh/)。
您的 zabbix 用户帐户似乎已被盗用。清除帐户并使用其他密码重新设置(当然,如果您使用了密码)。弄清楚您运行的 zabbix 版本也可能会有所帮助
答案2
这可能是由于版本 1.8.1 以下版本中的 SQL 注入问题造成的http://www.securityfocus.com/archive/1/510480