我昨天注意到,同时在我们的防火墙上查看我们的活动会话列表,发现一个服务器正在生成出站IRC连接。
昨晚有大约60个连接,但今天早上它less得多。
[root@prod12 ~]# netstat -nputw | grep 6667 tcp 0 1 10.109.131.20:44242 66.198.80.67:6667 SENT 4280/bash tcp 0 1 10.109.131.20:46549 208.64.123.210:6667 SENT 4280/bash tcp 0 1 10.109.131.20:35862 208.83.20.130:6667 SENT 4280/bash [root@prod12 ~]# 有意识地在这个服务器上没有任何IRC相关的。 有谁知道什么病毒或不是这样看起来像这样我可以在网上search删除?
查看进程列表进程4280的命令行(在netstat输出的最右边看到)是什么。 这应该给你的位置和可执行的名称。
如果您没有使用IRC端口安装或运行任何软件,则很可能是到僵尸networking主服务器的连接。 这些经常用来发送控制命令到服务器僵尸networking。 停止程序,将其移除(或将其移至保存位置进行取证),并检查攻击者是如何进入的(最有可能知道Web应用程序中的问题,SSH密码较弱等),并且是否还有其他软件或重新configuration由攻击者放置。
将来,如果可能的话,您可能需要考虑更为严格的出站连接防火墙。
如果你的服务器连接到互联网,它很有可能被黑客入侵。 如果这是一个生产服务,则应该还原以前的干净备份,因为您不知道是否识别出服务器中安装的所有恶意软件/ rootkit。
如果你想search这个问题的原因,你可以尝试遵循本指南http://heylinux.com/en/?p=97