如何阻止当前在我的服务器上运行的恶意端口扫描程序?

如何阻止当前在我的服务器上运行的恶意端口扫描程序?

我目前正在尝试清理和保护运行 pnscan 的服务器。此 pnscan 实例由外部方安装,最有可能将我们的服务器用作端口扫描僵尸网络的一部分。它似乎能够将其二进制文件写入 /dev/shm 和 /tmp。

这是“lsof | grep pnscan”的输出:

[email protected]:/home/bitnami# lsof | grep pnscan
pnscan     9588     daemon  cwd       DIR    8,1      4096      647169 /tmp
pnscan     9588     daemon  rtd       DIR    8,1      4096      2      /
pnscan     9588     daemon  txt       REG    8,1      18468     647185 /tmp/pnscan
pnscan     9588     daemon  mem       REG    8,1      42572     418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1    1421892     418349 /lib/tls/i686/nosegneg/libc-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1      79676     418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1     117086     418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1     113964     402913 /lib/ld-2.11.1.so
pnscan     9588     daemon    0r      CHR    1,3        0t0     705    /dev/null
pnscan     9588     daemon    1w      CHR    1,3        0t0     705    /dev/null
pnscan     9588     daemon    2w     FIFO    0,8        0t0     37499  pipe
pnscan     9588     daemon    3r      REG    8,1        203     516243 /opt/bitnami/apache2/cgi-bin/php-cgi
pnscan     9588     daemon    4u      REG    0,15         0      37558 /dev/shm/.x
pnscan     9588     daemon    5u     IPv4    37559      0t0     TCP  domU-12-31-39-14-41-41.compute-1.internal:52617->lab1.producao.uff.br:www (ESTABLISHED)
pnscan     9588     daemon    6u     IPv4    3688467    0t0     TCP  domU-12-31-39-14-41-41.compute-1.internal:55926->200.25.69.27:www (SYN_SENT)

以下是“ps aux | grep pnscan”的输出:

daemon    9588  2.3  0.1 3116204 3272 ?        Sl   21:42   1:55  /tmp/pnscan -rApache -wHEAD / HTTP/1.0\r\n\r\n 200.0.0.0/8 80

如果您能提供任何关于如何找到此问题根源的建议,我们将不胜感激。

谢谢!

答案1

通常情况下,被入侵的服务器

  1. 备份为图像,以便在关闭的实验室中进一步调查
  2. 重新映像或重新安装/恢复,以保持生产持续进行

让一台被感染的机器继续生产,即使你似乎已经清理干净,也不是一种安全的做法

答案2

看起来这个“pnscan”代码是从 UID 9588 运行的。

您可以设置一个 iptables 指令来匹配此 UID 并丢弃任何传出流量。或锁定为仅传出 tcp/80 和 tcp/22 等....

相关内容