Estou executando algumas instâncias do EC2 / Scalr com o monitoramento do zabbix. Recebi reclamações sobre uma das minhas portas de servidores verificando outros servidores. os logs mostram que está acessando a porta 22 em endereços IP consecutivos.
Eu olhei para a lista de processos e vi o scanssh sendo executado sob o usuário Zabbix.
Minha pergunta é- A varredura é parte do zabbix? Supõe-se que seja executado? Eu tenho autodiscovery ativo no zabbix, mas ele está olhando para outros endereços IP e, definitivamente, não para a porta 20. É possível que algo na configuração do zabbix agent esteja controlando e não as configurações no zabbix server?
O que posso fazer para descobrir se o zabbix está de alguma forma se comportando mal ou é um hacker? Qualquer conselho é altamente apreciado.
O scanssh definitivamente não faz parte do zabbix - na verdade, é um scanner ssh separado ( link ).
parece que sua conta de usuário do zabbix foi comprometida. limpe a conta e configure-a novamente usando uma senha diferente (se você usou uma, é claro). também pode ser útil descobrir qual versão do zabbix exatamente você está executando
Isso pode ser causado por um problema de Injeção de SQL no < 1.8.1 link