サーバーで現在実行されている悪意のあるポートスキャナーをブロックするにはどうすればよいですか?
現在、pnscanが実行されているサーバーをクリーンアップして保護しようとしています。このpnscanのインスタンスは、ポートスキャンボットネットの一部としてサーバーを使用する可能性が最も高い外部の第三者によってインストールされました。バイナリを/ dev/shmと/ tmpに書き込むことができるようです。
「lsof | greppnscan」の出力は次のとおりです。
[email protected]:/home/bitnami# lsof | grep pnscan
pnscan 9588 daemon cwd DIR 8,1 4096 647169 /tmp
pnscan 9588 daemon rtd DIR 8,1 4096 2 /
pnscan 9588 daemon txt REG 8,1 18468 647185 /tmp/pnscan
pnscan 9588 daemon mem REG 8,1 42572 418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so
pnscan 9588 daemon mem REG 8,1 1421892 418349 /lib/tls/i686/nosegneg/libc-2.11.1.so
pnscan 9588 daemon mem REG 8,1 79676 418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so
pnscan 9588 daemon mem REG 8,1 117086 418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so
pnscan 9588 daemon mem REG 8,1 113964 402913 /lib/ld-2.11.1.so
pnscan 9588 daemon 0r CHR 1,3 0t0 705 /dev/null
pnscan 9588 daemon 1w CHR 1,3 0t0 705 /dev/null
pnscan 9588 daemon 2w FIFO 0,8 0t0 37499 pipe
pnscan 9588 daemon 3r REG 8,1 203 516243 /opt/bitnami/Apache2/cgi-bin/php-cgi
pnscan 9588 daemon 4u REG 0,15 0 37558 /dev/shm/.x
pnscan 9588 daemon 5u IPv4 37559 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:52617->lab1.producao.uff.br:www (ESTABLISHED)
pnscan 9588 daemon 6u IPv4 3688467 0t0 TCP domU-12-31-39-14-41-41.compute-1.internal:55926->200.25.69.27:www (SYN_SENT)
そして、これが「ps aux | greppnscan」の出力です。
daemon 9588 2.3 0.1 3116204 3272 ? Sl 21:42 1:55 /tmp/pnscan -rApache -wHEAD / HTTP/1.0\r\n\r\n 200.0.0.0/8 80
これの原因を見つける方法についてのアドバイスをいただければ幸いです。
ありがとう!
通常、侵害されたサーバーは
- 閉鎖されたラボでさらに調査するための画像としてバックアップ
- 本番環境を継続するために、イメージの再作成または再インストール/復元
侵害されたマシンを本番環境で一見クリーンアップしたとしても、そのままにしておくことは安全な方法ではありません。
この「pnscan」コードはUID9588から実行されているようです。
このUIDに一致するようにiptablesディレクティブを設定し、発信トラフィックをドロップすることができます。または、発信tcp/80およびtcp/22などにのみロックダウンします。