¿Cómo puedo prevenir un ataque ISCSI?

Question

¿Cómo puedo prevenir un ataque ISCSI?

#1 de mootmoot (1 votos)

1

¿Qué significa cuando descubres que eres considerado como un dispositivo ISCSI de destino ?

Encontré el proceso iSCSId en / var / tmp con un archivo conf. está intentando crear un comando crontab cada hora en mi máquina: serverClientName. ¿Cómo evitar tal conexión? ¿Por qué no puedo ser notificado por esta conexión no autorizada y de fondo a través del protocolo iSCSI? por cierto estamos usando java6

dónde encontrar la identidad de los iniciadores.

este es el contenido de crontab

May 29 06:34:06 Archive-X**y crontab[24772]: (X**y) BEGIN EDIT (X**y)
May 29 06:35:24 Archive-X**y crontab[24772]: (X**y) END EDIT (X**y)
May 29 06:37:11 Archive-X**y crontab[24804]: (dcm4chee) BEGIN EDIT (dcm4chee)
May 29 06:41:21 Archive-X**y crontab[24804]: (dcm4chee) REPLACE (dcm4chee)
May 29 06:41:21 Archive-X**y crontab[24804]: (dcm4chee) END EDIT (dcm4chee)
May 29 06:41:25 Archive-X**y crontab[24834]: (dcm4chee) BEGIN EDIT (dcm4chee)
May 29 06:42:01 Archive-X**y cron[1270]: (dcm4chee) RELOAD (crontabs/dcm4chee)
May 29 06:42:08 Archive-X**y crontab[24834]: (dcm4chee) END EDIT (dcm4chee)

+++ X ** y es el nombre del servidor dcm4chee +++

El contenido de / var / tmp / iscsid_pirate es confuso binario.

Este es el contenido de pirate.conf

X**y@Archive-X**y:/var/tmp$ ls
iscsid_pirate  pirate.conf
X**y@Archive-X**y:/var/tmp$ more pirate.conf

{
    "url" : "stratum+tcp://188.165.254.85:80",
    "user" : "46Z6dQ77i2qAapF4kjLXaaYKCB59eajwaZbmtyyPsxDXWyxPS5nfYoe5t4R7yTgsvT
AxgE8DRwwtKiMxCmM39KCBPfEgL5b",
    "pass" : "x",
    "algo" : "cryptonight",
    "quiet" : true
}

attacks audit

pregunta Ines Belhouchet 29.05.2017 - 14:07

fuente

1 respuesta

Lea otras preguntas en las etiquetas attacks audit

¿Cómo podemos garantizar nuestra implementación de autenticación personalizada a un cliente? OAuth 2.0: ¿Cuál es la ventaja del flujo de concesión de permission_code sobre el flujo de concesión implícito?

score 1 · Answer 1

Lo que encuentra NO es un hack iSCSI, sino un minero de bitcoin malicioso que coloca en su sistema esa máscara como un proceso iSCSI (que no lo es).

Detenga el proceso /var/tmp/iscsid_pirate process, verifique su crontab. Si no cree que sea malicioso, puede ejecutar

sha256sum /var/tmp/iscsid_pirate

copie el hash y péguelo en la barra de búsqueda https://www.virustotal.com/ . Debido al abuso del minero de bitcoin, la mayoría de los antivirus señalan que el minero de bitcoin es algo malo. No se sorprenda de que los principales antivirus de Windows los señalen, incluso si se trata de un archivo ELF de Linux.

Lo que debes hacer:

Revise sus servicios web para detectar fallas de seguridad (por ejemplo, versión obsoleta, actualizaciones de seguridad sin parches, etc.)
Copia de seguridad de sus datos
Reinstale y vuelva a implementar el servidor, corrija todos los agujeros de seguridad antes de abrirlo al usuario. (No necesita un número 1 para hacer una copia de seguridad de sus reclamos de que ha sido hackeado en lugar de que un administrador de colorete coloque el minero de bitcoin en su sistema).