このサーバーがアウトバウンドIRC接続を生成するのはなぜですか?
昨夜、ファイアウォールのアクティブなセッションリストで他の何かをチェックしているときに、サーバーがアウトバウンドIRC接続を生成していることに気付きました。
昨夜は約60の接続がありましたが、今朝はそれよりはるかに少なくなっています。
[root@prod12 ~]# netstat -nputw | grep 6667
tcp 0 1 10.109.131.20:44242 66.198.80.67:6667 SENT 4280/bash
tcp 0 1 10.109.131.20:46549 208.64.123.210:6667 SENT 4280/bash
tcp 0 1 10.109.131.20:35862 208.83.20.130:6667 SENT 4280/bash
[root@prod12 ~]#
このサーバーに意図的に関連するIRCはありません。オンラインで削除を検索できるように、ウイルスまたはこれがどのように見えるかを誰かが知っていますか?
プロセスリストを見て、プロセス4280のコマンドライン(netstat出力の右端に表示)が何であるかを確認します。これにより、実行可能ファイルの場所と名前がわかります。
IRCポートを使用してソフトウェアをインストールまたは実行しなかった場合、これはボットネットマスターサーバーへの接続である可能性があります。これらはサーバーボットネットに制御コマンドを送信するために頻繁に使用されます。プログラムを停止します。 、それを削除し(またはフォレンジック用の保存場所に移動し)、攻撃者がどのように侵入したか(Webアプリの問題、弱いSSHパスワードなどを知っている可能性が高い)、および他のソフトウェアや再構成が行われていないかどうかを確認します。アタッカー。
将来的には、可能であれば、アウトバウンド接続用のより制限的なファイアウォールを検討することをお勧めします。
サーバーがインターネットに接続している場合は、ハッキングされている可能性があります。これが本番サービスの場合、サーバーにインストールされているすべてのマルウェア/ルートキットを特定したかどうかわからないため、以前のクリーンバックアップを復元する必要があります。
この問題の原因を検索したい場合は、このガイドに従うことを試みることができます http://heylinux.com/en/?p=97