我知道这可能听起来像一个菜鸟类型的问题,但我想知道是否有任何程序/技术可以扫描服务器上托管的僵尸网络。
我经营一家小型托管公司,销售 kvm vps。我只是讨厌数据中心必须通知我们这个问题,我宁愿能够在数据中心通知我们之前找到并删除僵尸网络。
答案1
这是一个非常复杂的问题,而且不断变化。找到这种流量的一个更好的方法是运行某种ids系统对您的出站流量进行监控,以确定哪些系统可能正在做可疑的事情。这将使您能够主动做出反应。调整这些以使其返回相关结果需要很多技巧,但这是可以做到的;尽管它很像打地鼠。
如果您无法访问外部流量源(除了生成流量源的系统之外),则可以使用第三方产品来扫描系统和流量以查找可疑活动。一些主要的 AV 供应商拥有可以扫描 Linux 系统以查找此类活动的系统。它大部分是基于签名的,因此是已知威胁,但总比没有好。