文章目录
环境
系统平台:银河麒麟 (X86_64)
版本:4.5.10
症状
云厂商检测到6666端口异常,疑似木马。
问题原因
查看使用6666端口的进程是db_ha的agent,但是agent进程的目录不存在。
瀚高安全版V4.5.10安装后,会自带db_ha并把agent配置为开机自启,导致服务器重启后agent自启动。然后卸载安全版4.5.10之后,该agent服务不会被停止,同时service文件也不会被删除,就导致6666端口一直被占用。
解决方案
如果安全版4.5.10是单机部署或者已经完全卸载或者db_ha未被使用,则需要把db_ha的agent进程杀掉并禁用开机自启。
特别说明:
1、瀚高安全版V4.5.10安装后,会自动安装db_ha、hghac、hgproxy组件,并且把它们都自动配置了开机自启,导致在服务器重启后db_ha-agent、hghac都能启动;
2、瀚高安全版V4.5.10卸载时,会自动删除hghac、hgproxy的service文件,但是db_ha-agent的service文件不会被删除,而且它的服务也不会被stop,就会导致服务器没有重启过的情况下,db_ha-agent的服务一直在运行着,6666端口一直在占用,可能引起其他风险。
因此,部署安全版V4.5.10时,建议先关闭db_ha、hghac、hgproxy的开机自启,然后按需配置开机自启,同时一定要重启服务器进行验证。