Всем привет. С удивлением обнаружил, что zabbix server (4.4) якобы принимает какие-то данные с одного linux хоста, хотя его давно переинсталлировали и даже агента на нем нет. DNS имя (через которое хост задан на сервере) разрешается правильно, то есть не в этом дело. Ясно, что получает данные с какого-то другого хоста, но как понять с какого ?
-
-
Поставь tcpdump и посмотри, кто к тебе лезет и откуда активность. -
уже нашел, и именно tcpdump-ом. получается, сервер zabbix весьма легко обмануть, не кроется ли в этом разные вульнерабилитис ?Comment
-
а можно подробнее кейс расписать? был некий агент, его удалили, и дальше что?Comment
-
Его удалили, но вероятно позже на другом сервере установили агента, и по какой-то причине в его конфигурации поставили такое же имя, как на старом. Думаю, хотели чтобы новый сервер выполнял функции старого, но как обычно бывает, позже забыли про это. А сервер zabbix-а покорно принимал от него данные и публиковал под видом старого.Last edited by jnsvano; 30-10-2021, 10:33.Comment
-
А уязвимость-то действительно есть. У айтемов типа trapper можно прописать в поле Allowed hosts, от каких ip принимать данные, а у активных агентских проверок - нет такого поля.Comment
-
использование tls может помочь. Правда, я не помню что там в 4.4 на счет этогоComment
-
Может, но не поможет от копирования конфига агента вместе с PSK. Насчет сертификата не уверен. В любом случае, белый список ip, как у trapper, не помешал бы, ведь механизм одинаков.Comment
Comment