идентификация и исправление действий по сканированию портов в CentOS [дубликат]
Возможный дубликат:
Мой сервер был взломан. АВАРИЯ
Моя машина Linux (CentOS 5.x), похоже, подверглась атаке. Отслеживались действия по сканированию портов. Однако просканированные (подлежащие) сканированию порты были только 8080. В качестве временной меры я обновил правила iptables, чтобы отбросить весь исходящий трафик с машины на порт 8080.
Однако 1. Я хотел бы убедиться, действительно ли моя машина была взломана. 2. Также, если это действительно сканирование портов, будет ли оно ограничено только одним портом 8080? 3. И, что наиболее важно, если машина заражена каким-либо вредоносным ПО, вызывающим сканирование портов, как я могу снова очистить его?
Спасибо
Есть много разных способов, которыми злоумышленник может использовать вашу систему для атаки на другие сайты, я расскажу о нескольких наиболее распространенных из них.
Кто-то получил доступ к удаленной оболочке для вашей системе.
Это может произойти из-за слабого пароля SSH, плохих правил брандмауэра или использования уязвимых программ, запущенных на вашем сервере. Первое, что я хотел бы проверить (с удалением на короткое время блока iptables ) - это вывод команды netstat -anp . Если вы видите подозрительные исходящие соединения tcp / 8080, возьмите PID из последнего столбца и посмотрите, какой процесс они исходят.
Если вызывающий нарушение процесс - httpd , nginx и т. Д. . переходите к следующему разделу, иначе вам следует взглянуть на этот вопрос:
Как мне поступить со взломанным сервером?
Кто-то использует сценарий, который вы разместили на вашем веб-сервере.
Если вызывающий нарушение процесс является веб-сервером или чем-то вроде FastCGI, это, скорее всего, так. Это очень часто встречается с PHP и Perl :: CGI, но, конечно, может происходить с любым языком. Скрипт, который вы используете, написан плохо, или версия Perl / PHP / и т. Д. уязвим для атаки. Вы можете использовать журналы доступа (например, / var / log / httpd / access_log ), чтобы увидеть, какой сценарий повторяется неоднократно (и откуда!), И удалить или исправить его.
В любом случае, вам также следует регулярно обновлять свой сервер.
но, конечно, может произойти с любым языком. Скрипт, который вы используете, написан плохо, или версия Perl / PHP / и т. Д. уязвим для нападения. Вы можете использовать журналы доступа (например, / var / log / httpd / access_log ), чтобы увидеть, какой сценарий повторяется неоднократно (и откуда!), И удалить или исправить его.
В любом случае, вам также следует регулярно обновлять свой сервер.
но, конечно, может произойти с любым языком. Скрипт, который вы используете, написан плохо, или версия Perl / PHP / и т. Д. уязвим для нападения. Вы можете использовать журналы доступа (например, / var / log / httpd / access_log ), чтобы увидеть, какой сценарий повторяется неоднократно (и откуда!), И удалить или исправить его.
В любом случае, вам также следует регулярно обновлять свой сервер.