Come posso prevenire un attacco ISCSI?

1

Che cosa significa quando pensi di essere considerato come un dispositivo ISCSI target

.

Ho trovato il processo iSCSId in / var / tmp con un file conf. sta cercando di creare un comando crontab orario sotto la mia macchina: serverClientName. Come prevenire tale connessione? perché non potrei essere informato da questa connessione non autorizzata e in background tramite il protocollo iSCSI? dal modo in cui stiamo usando java6

dove trovare l'identità degli iniziatori.

questo è il contenuto di crontab

May 29 06:34:06 Archive-X**y crontab[24772]: (X**y) BEGIN EDIT (X**y)
May 29 06:35:24 Archive-X**y crontab[24772]: (X**y) END EDIT (X**y)
May 29 06:37:11 Archive-X**y crontab[24804]: (dcm4chee) BEGIN EDIT (dcm4chee)
May 29 06:41:21 Archive-X**y crontab[24804]: (dcm4chee) REPLACE (dcm4chee)
May 29 06:41:21 Archive-X**y crontab[24804]: (dcm4chee) END EDIT (dcm4chee)
May 29 06:41:25 Archive-X**y crontab[24834]: (dcm4chee) BEGIN EDIT (dcm4chee)
May 29 06:42:01 Archive-X**y cron[1270]: (dcm4chee) RELOAD (crontabs/dcm4chee)
May 29 06:42:08 Archive-X**y crontab[24834]: (dcm4chee) END EDIT (dcm4chee)

+++ X ** y è il nome del server dcm4chee +++

Il contenuto di / var / tmp / iscsid_pirate è binario alterato.

Questo è il contenuto di pirate.conf

X**y@Archive-X**y:/var/tmp$ ls
iscsid_pirate  pirate.conf
X**y@Archive-X**y:/var/tmp$ more pirate.conf

{
    "url" : "stratum+tcp://188.165.254.85:80",
    "user" : "46Z6dQ77i2qAapF4kjLXaaYKCB59eajwaZbmtyyPsxDXWyxPS5nfYoe5t4R7yTgsvT
AxgE8DRwwtKiMxCmM39KCBPfEgL5b",
    "pass" : "x",
    "algo" : "cryptonight",
    "quiet" : true
}
    
posta Ines Belhouchet 29.05.2017 - 14:07
fonte

1 risposta

1

Quello che incontri NON è un hack iSCSI, ma un bitcoin miner dannoso che si trova nel tuo sistema che maschera come un processo iSCSI (che non lo è).

Elimina il processo /var/tmp/iscsid_pirate process, controlla il tuo crontab. Se non ritieni che sia dannoso, puoi eseguire

sha256sum /var/tmp/iscsid_pirate

copia l'hash e incolla nella barra di ricerca https://www.virustotal.com/ . A causa dell'abuso di bitcoin miner, la maggior parte dei flag anti-virus bitcoin come qualcosa di brutto. Non sorprenderti che l'antivirus Windows tradizionale li segnali anche se si tratta di un file ELF di Linux.

Cosa dovresti fare:

  1. Verifica i tuoi servizi Web per i difetti di sicurezza (ad esempio versione obsoleta, aggiornamenti di sicurezza senza patch, ecc.)
  2. Esegui il backup dei tuoi dati
  3. Reinstallare e ridistribuire il server, correggere tutte le falle di sicurezza prima di aprirlo all'utente. (È necessario il n. 1 per eseguire il backup delle affermazioni che si è stati violato al posto di un amministratore di rouge che ha inserito il bitcoin miner nel sistema).
risposta data 29.05.2017 - 14:30
fonte

Leggi altre domande sui tag