Вчера вечером, проверяя наш список активных сеансов на нашем брандмауэре на предмет чего-то еще, я заметил, что сервер генерирует исходящие IRC-соединения.
Вчера вечером было около 60 подключений, но сегодня утром намного меньше.
[root@prod12 ~]# netstat -nputw | grep 6667
tcp 0 1 10.109.131.20:44242 66.198.80.67:6667 SENT 4280/bash
tcp 0 1 10.109.131.20:46549 208.64.123.210:6667 SENT 4280/bash
tcp 0 1 10.109.131.20:35862 208.83.20.130:6667 SENT 4280/bash
[root@prod12 ~]#
На этом сервере намеренно нет ничего, связанного с IRC. Кто-нибудь знает, что это за вирус или что-то еще, чтобы я мог искать в Интернете удаление?
Посмотрите в списке процессов, что такое командная строка для процесса 4280 (видна справа в выводе netstat). Это должно дать вам местоположение и имя исполняемого файла.
Если вы не устанавливали и не запускали какое-либо программное обеспечение с использованием порта IRC, скорее всего, это соединение с главным сервером ботнета. Они часто используются для отправки команд управления ботнетом серверов. Остановите программу, удалите ее (или переместите в место для сохранения для криминалистики) и проверьте, как злоумышленник проник (скорее всего, знает проблемы в веб-приложениях, слабые пароли SSH и т. Д.), И есть ли другое программное обеспечение или изменение конфигурации. место нападающим.
В будущем вы, возможно, захотите подумать о более ограничительном брандмауэре для исходящих подключений, если это возможно.
Если ваш сервер подключен к Интернету, вполне вероятно, что он был взломан. Если это производственная служба, вам следует восстановить предыдущую чистую резервную копию, потому что вы не знаете, идентифицировали ли вы все вредоносные программы / руткиты, установленные на сервере.
Если вы хотите найти причину этой проблемы, вы можете попробовать следовать этому руководству. http://heylinux.com/en/?p=97