Por que esse servidor está gerando conexões de saída de IRC? [duplicado]

Navegue suas respostas
1

Eu notei ontem à noite enquanto checava nossa lista de sessões ativas em nosso firewall por algo mais, que um servidor estava gerando conexões de IRC de saída.

Ontem à noite houve cerca de 60 conexões, mas esta manhã é muito menos. 

[root@prod12 ~]# netstat -nputw | grep 6667
tcp        0      1 10.109.131.20:44242         66.198.80.67:6667                SENT    4280/bash
tcp        0      1 10.109.131.20:46549         208.64.123.210:6667              SENT    4280/bash
tcp        0      1 10.109.131.20:35862         208.83.20.130:6667               SENT    4280/bash
[root@prod12 ~]#

Não há nada relacionado ao IRC neste servidor intencionalmente. Alguém sabe o vírus ou algo parecido para que eu possa pesquisar on-line para remoção?

    
por user4499154 05.02.2015 / 10:36

2 respostas

2

Veja na lista de processos qual é a linha de comando do processo 4280 (vista na extremidade direita da saída do netstat). Isso deve fornecer a localização e o nome do executável.

Se você não instalou ou executou nenhum software usando a porta IRC, é provável que seja uma conexão com um servidor mestre de botnets. Esses são freqüentemente usados para enviar comandos de controle para servidores de botnet. Pare o programa, remova-o (ou mova-o para um local de salvamento para análise forense) e verifique como o invasor entrou (provavelmente sabe problemas em aplicativos da Web, senhas SSH fracas etc.) e se houver outro software ou reconfiguração lugar pelo atacante.

No futuro, você pode pensar em um firewall mais restritivo para conexões de saída, se possível.

    
por 05.02.2015 / 10:47
0

Se o seu servidor tiver uma conexão com a Internet, é bem provável que ele tenha sido invadido. Se este for um serviço de produção, você deve restaurar um backup limpo anterior porque não sabe se identificou todo o malware / rootkit instalado no servidor.

Se você quiser pesquisar a causa desse problema, tente seguir este guia link

    
por 05.02.2015 / 10:51

Tags

Ansible :: looping aninhado avançado Autenticação WatchGuard equivalente à série Cisco ASA X