bot感染について

2年前に、Centos6のサーバーに、Webサーバー(apache)とメールサーバー(postfix)を構築しました。
そして、さのサーバーにZabbix server v2.2.3をインストールし使用しています。

先週より、このサーバーから送られてくるPostfix log summariesとLogwatchを見ると、どうもbot感染により、大量のスパンメールが海外に送信されていることが分かりました。
いろいろと調べてみたところ、/tmpにzabbixアカウントで、.bディレクトリができており、そこにbotプログラムがみつかりました。

そこで質問なのですが、zabbixの脆弱性によるbot感染をすることがあるのでしょうか。

これからzabbixを3にバージョンアップしてみます。

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真

そこで質問なのですが、zabbixの脆弱性によるbot感染をすることがあるのでしょうか。

Zabbixだけではありませんが、サーバ上で稼働している様々なプロ
セスに脆弱性があれば、それを利用して攻撃したり踏み台にするこ
とができる可能性があります。

使用されているZabbixのバージョンも2.2.3と古いままのようです
ので、OS自体や各プロダクトもこまめに脆弱性対策を行われていな
かったのではないでしょうか?

JVNやJPCERTなどの情報を参照して、継続して脆弱性対応をするこ
とをご検討ください。

  https://jvn.jp/
  https://www.jpcert.or.jp/

あと、CentOS 6上でZabbix 3.0のサーバーを構築することはお勧め
しません。
各種プロダクトやライブラリのバージョンが古すぎるので、機能の
制限があったり、PHPのバージョンも5.4以降にするなどの対応が必
要です。

データベースのデータは何らかの方法で移行するとしても、新規に
別のサーバー上に構築しなおした方が良いのではないでしょうか。

ご検討ください。

ユーザー はやのびとん の写真

コメントありがとうございます。

定期的にyum updateを行っており、OS自体の脆弱性対策を行ておりました。
ただ、仰る通りに、他の要素による影響も十分考えられますので、もう少し調査してみます。

また、centos6上でzabbix3が動作しないことは、投稿後に分かりましたので、別途zabbix専用のCentos7サーバを準備し、そこにZabbix3を導入します。

今後ともよろしくお願いいたします

ユーザー TNK の写真

Zabbix自体もZabbixの開発元であるZabbix LLCのyumリポジトリを
使用していれば、yum updateで更新することができます。
それによって、随時脆弱性対応や不具合対応が行われたバージョン
へアップデートすることができます。

Zabbix 2.2系、Zabbix 3.0系、Zabbix 3.2系とメジャーバージョン
毎にリポジトリが用意されていますので、zabbix-releaseのパッケ
ージを入れ替えてしまわない限り、勝手にメジャーバージョンアッ
プされることはありません。

2.2.3から2.2.16など、マイナーバージョンアップで100%問題が発
生しないとは言い切れませんが、データベースのテーブル構成など
の変更は行われません。

安全のため、バックアップを取得しておくことと、同様の環境でバ
ージョンアップを試行して頂いて、問題が無いようであれば、本番
環境でもyumコマンドでアップデートするという運用にすることも
検討してみてはいかがでしょうか。