我最近开始从 Hetzner 租用服务器。
我收到连续的电子邮件告诉我我的服务器正在对其他服务器进行扫描:
“您具有上述IP地址的服务器已对互联网上的其他服务器进行了扫描。
这给网络资源带来了相当大的压力,并导致我们网络的一部分受到不利影响”
我已经运行了 clamscan 和 rhkit,即使更新了也没有发现或检测到任何东西。
您对如何解决此问题有什么建议吗?有没有办法安装防火墙?
Nmap显示:
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
31337/tcp open Elite
答案1
您在端口 31337 上运行了什么吗?这看起来很可疑。
如果您的机器被破坏到足以执行您未启动的传出端口扫描,那么添加本地防火墙将不会对您有帮助。
最好的办法是完全更换服务器。一旦机器被入侵,几乎不可能有信心将其恢复到安全状态。确保在这样做时锁定远程访问并修补所有内容。
您还可以查看操作系统的安全指南https://www.cisecurity.org/cis-benchmarks/以帮助确保其安全。
答案2
我同意@Jason 的观点(但我的评论太长,无法作为评论发布)。
听起来您安装了 Back Orifice(或至少是它的现代等效程序)。这是一个远程控制程序,可能以特洛伊木马程序的形式安装,用于从其他地方控制您服务器上的进程。
它很可能已安装在您的计算机上,并附带一个 rootkit,以确保您无法(轻松)将其删除,从而使您的服务器完全受到威胁。这意味着仅尝试使用防火墙阻止它是徒劳的;它可能会绕过防火墙。
您应该完全重新安装服务器(如果是虚拟机,我建议将其完全删除并配置一个新的,以防它安装了 BIOS 根工具包或类似的东西);这比尝试正确删除任何根工具包更省力(而且可能更便宜)。当您重新安装服务器后,请设置防火墙并阻止除 SSH 端口之外的所有入站流量(如果您不确定如何执行此操作,请先让您的托管公司为您执行此操作,然后阅读相关信息),应用所有补丁,然后安装应用程序和数据,将防火墙配置为仅允许访问您的应用程序(听起来好像只是 Web 服务器)。
我还会确保您的 Web 服务器、应用程序和数据库已完全修补;您的计算机可能通过 Web 应用程序受到攻击。我还会考虑备份您的服务器,这样如果您的服务器再次受到攻击,您可以从已知良好的备份中恢复。(当然,您必须测试备份,以便知道它们会在您需要时恢复!)