我的服务器似乎是由hacked+运行的扫描，正常吗？

Question

我正在运行几个带有zabbix监视的EC2/Scalr实例。我收到了关于我的一个服务器端口扫描其他服务器的投诉。日志显示它正在访问连续IP地址上的端口22。

我查看了进程列表，看到scanssh在用户Zabbix下运行。

我的问题是- scanssh是zabbix的一部分吗？跑得好吗？我在zabbix上有一个主动的自动发现，但是它正在查看另一个IP地址，并且肯定不是端口20。它是否可能是由zabbix代理的配置来控制它，而不是控制它的服务器上的设置？

我能做些什么来找出zabbix是否行为不端或者是黑客呢？任何建议都是非常感谢的。

Answer 1

scanssh绝对不是zabbix的一部分，它实际上是一个独立的ssh扫描器(http://monkey.org/~provos/scanssh/)。

看来您的zabbix用户帐户已经被破坏了。清除帐户并使用不同的密码重新设置它(当然，如果您使用的话)。这也可能有助于找出您到底在运行哪个版本的zabbix。

Answer 2

这可能是由于<1.8.1 http://www.securityfocus.com/archive/1/510480中的SQL注入问题造成的。