Назад | Перейти на главную страницу

странные сетевые подключения tcp 149.9.1.16:ircd

Возможный дубликат:
Мой сервер был взломан в АВАРИИ

Я вижу странное TCP-соединение 149.9.1.16:ircd, и на нем запущена служба Perl, и этот процесс создает огромную нагрузку на сервер IPV4 TCP 3u MYIP: 58449 -> 149.9.1.16:ircd ESTABLISHED

Могу ли я узнать, работает ли эта вредоносная программа или какая-либо другая служба и потребляет ли она ресурсы моего сервера. Данные моей операционной системы - centos5.5

Если это не то, чего вы ожидаете, скорее всего, это вредоносное ПО. Единственное реальное решение - выключить систему. Получите изображение для последующего анализа. Зарядите систему с орбиты, а затем восстановите из заведомо исправной резервной копии - это единственный способ быть уверенным.

Это плохо - похоже, что ваш сервер является частью ботнета.

Если вы не знаете, где выполняется процесс, проверьте информацию о нем (pid - это идентификатор процесса):

ls -l /proc/'pid'/fd
cat /proc/'pid'/cmdline

Найдите плохой сценарий и убейте его. Я думаю, он находится в / tmp, / var / tmp или определенном временном каталоге для вашего веб-сервера. Вполне вероятно, что этот сценарий был загружен через плохо закодированные веб-страницы; найди и отремонтируй.