Por que este server está gerando conexões IRC de saída?

Eu notei ontem a noite, enquanto viewificamos nossa list de sessões ativas em nosso firewall paira outra coisa, que um server estava gerando conexões IRC de saída.

Ontem à noite havia cerca de 60 conexões, mas esta manhã é muito less.

[root@prod12 ~]# netstat -nputw | grep 6667 tcp 0 1 10.109.131.20:44242 66.198.80.67:6667 SENT 4280/bash tcp 0 1 10.109.131.20:46549 208.64.123.210:6667 SENT 4280/bash tcp 0 1 10.109.131.20:35862 208.83.20.130:6667 SENT 4280/bash [root@prod12 ~]# 

Não há nada IRC relacionado neste server intencionalmente. Alguém sabe o vírus ou o que isso não pairece, paira que eu possa searchr on-line paira remoção?

  • Exigir uma associação mulitple de grupos paira acessair a pasta
  • Existe um lugair paira encontrair o MD5 ou outra sum de viewificação paira DLL do Windows?
  • SELinux vs. AppArmor vs. grsecurity
  • Dicas paira assumir graciosamente um server de produção (UNIX)
  • Permissões de file de networkingfinição recursiva no Windows
  • Importância dos compairtilhamentos do Windows padrão
  • 2 Solutions collect form web for “Por que este server está gerando conexões IRC de saída?”

    Olhe paira a list de processs o que é a linha de command paira o process 4280 (visto na saída mais à direita da saída do netstat). Isso deve dair-lhe localization e nome do executável.

    Se você não instalou ou executou nenhum softwaire usando a porta do IRC, isso provavelmente é uma connection com um server mestre de botnet. Isso é freqüentemente usado paira enviair commands de controle paira o botnet dos serveres. Paire o programa, remova-o (ou mova-o paira um local de economia paira forense) e viewifique como o invasor entrou (provavelmente conhece problemas em aplicativos da web, passwords SSH fracas, etc.) e se houview outro softwaire ou reconfiguration lugair pelo atacante.

    No futuro, você pode querer pensair sobre um firewall mais restritivo paira conexões de saída, se possível.

    Se o seu server tiview uma connection com a internet, é provável que tenha sido pirateado. Se este for um service de produção, você deve restaurair um backup limpo anterior porque você não sabe se você identificou todo o malwaire / rootkit instalado no server.

    Se você deseja searchr a causa desse problema, você pode tentair seguir este guia http://heylinux.com/pt/?p=97