Помогите найти несанкционированный сканер портов на моем Debian 6

Заголовок поменяйте. На примерно так: «Помогите найти несанкционированный сканер портов на моем Debian 6».

Если сканер кто-то затолкал на ваш сервер... Может проще будет сдампить все данные, и попросить саппорт датацентра вернуть ОС в изначальное состояние. Сменить все адреса, пароли, явки - и залить сайт обратно?

Банально порты поменять и ненужные закрыть в придачу.
Ну и секьюрти-апдейты наверное в актуальном состоянии?

Я просто не представляю каким образом могли это сделать. Пароли у меня сложные, ничего не взломали, но сканнер откуда-то появился, могли бы его повешать через уязвимость на сайте?

Первый способ, который я считаю возможным, но далеко не все со мной согласны. Винда, с которой ходят на сервер сама по себе опасна. Пароли тырят просто у всех, даже у тех, кто не имеет паролей. Сложность не имеет значения, их сканят изо всех дыр, существующих и гипотетических. У вас могли увести пароль, к серверу, или сайту или еще какой-нибудь.

Уязвимость на сайте конечно могла быть источником проблемы. Но тут надо делать его аудит. В самом простом случае посмотреть обработку входных данных (в первую очередь файлов) приходящих от пользователя.

И еще одно страшное предположение. У вас на сервере есть phpmeadmin? Если есть, то лучше его удалить.

могли бы его повешать через уязвимость на сайте?

да, могли.

1. Сделай nmap -P0 ай-пи_сервера, чтобы посмотреть открытые порты.
2. sudo netstat -nltp (на самом сервере)
3. Проверь сервер Clamav-ом.
4. Посмотри файл /etc/passwd на предмет нет ли там новых пользователей

У меня nmap даже не установлен, как им могли сканировать? Лишних открытых портов нет :( Пользователей новых нет.

tcp 0 0 127.0.0.1:9014 0.0.0.0:* LISTEN 2344/java tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1462/sshd tcp 0 0 188.127.2.5:7770 0.0.0.0:* LISTEN 4022/java tcp 0 0 188.127.2.5:2106 0.0.0.0:* LISTEN 2344/java tcp 0 0 188.127.2.5:3306 0.0.0.0:* LISTEN 1586/mysqld tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN 5138/apache2 tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1444/nginx tcp6 0 0 :::22 :::* LISTEN 1462/sshd

Понаблюдай какие процессы есть:

ps -few

top

Если левых процессов нет, то значит «дырка» в каком-то рабочем. У тебя виртуалка или хостинг?

Если хостинг попроси провайдера обновить сервисы (apache, php, mysql и т.д.). Если вируалка - сама обнови все.

Если рабочие сервисы в норме - значит, движок дырявый. Обнови движок до последней версии (кстати, что у тебя за движок?).

Но скорей всего пароль увели с удаленного (рабочего, домашнего) компа. Переустанови систему на линукс, или прочеши всё антивирусом. После этого поменяй все пароли на ssh, админку движка, СУБД.

Для пущей паранои закрой все лишние порты с помощью iptables :)

kisa666
Арендовала выделенный сервер

нюню

4022 kisa 20 0 2009m 1.3g 11m S 12 21.1 45:35.73 java 5413 www-data 20 0 271m 24m 5644 S 3 0.4 0:01.44 apache2 1445 www-data 20 0 32552 3920 932 S 0 0.1 0:21.99 nginx 1586 mysql 20 0 369m 51m 7728 S 0 0.8 1:37.45 mysqld 1680 root 20 0 65468 7836 2204 S 0 0.1 0:15.09 fail2ban-server 2344 kisa 20 0 497m 78m 10m S 0 1.3 1:10.90 java 5471 root 20 0 19308 1592 1016 R 0 0.0 0:01.20 top 1 root 20 0 8352 804 676 S 0 0.0 0:00.84 init 2 root 20 0 0 0 0 S 0 0.0 0:00.00 kthreadd

Месяц назад устанавливала последнии версии сервисов, так что маловероятно...Движок сайта stress web, форум ipb 3.3, тоже все последние версии. Лишнии порты все закрыты :( Да действительно скорей всего с домашнего компьютера увели.

Злоумышленник вполне мог залить и использовать свой бинарник любого порт сканера, даже если нет возможности собирать что-то прямо на вашем сервере.

Можно также проверить код сайта. В моем случае php-shell был залит с машины разработчика.

Да действительно скорей всего с домашнего компьютера увели.

ssh ключи крайне удобная вещь.