Meu servidor parece ter sido hackeado + scanssh executado pelo zabbix é normal?

1

Estou executando algumas instâncias do EC2 / Scalr com o monitoramento do zabbix. Recebi reclamações sobre uma das minhas portas de servidores verificando outros servidores. os logs mostram que está acessando a porta 22 em endereços IP consecutivos.

Eu olhei para a lista de processos e vi o scanssh sendo executado sob o usuário Zabbix.

Minha pergunta é- A varredura é parte do zabbix? Supõe-se que seja executado? Eu tenho autodiscovery ativo no zabbix, mas ele está olhando para outros endereços IP e, definitivamente, não para a porta 20. É possível que algo na configuração do zabbix agent esteja controlando e não as configurações no zabbix server?

O que posso fazer para descobrir se o zabbix está de alguma forma se comportando mal ou é um hacker? Qualquer conselho é altamente apreciado.

    
por Niro 17.05.2010 / 19:20

2 respostas

3

O scanssh definitivamente não faz parte do zabbix - na verdade, é um scanner ssh separado ( link ).

parece que sua conta de usuário do zabbix foi comprometida. limpe a conta e configure-a novamente usando uma senha diferente (se você usou uma, é claro). também pode ser útil descobrir qual versão do zabbix exatamente você está executando

    
por 17.05.2010 / 21:51
1

Isso pode ser causado por um problema de Injeção de SQL no < 1.8.1 link

    
por 26.11.2010 / 06:07