昨晚我检查防火墙上的活动会话列表时发现,一台服务器正在生成出站 IRC 连接。
昨晚大约有 60 个连接,但是今天早上连接数少了很多。
[root@prod12 ~]# netstat -nputw | grep 6667
tcp 0 1 10.109.131.20:44242 66.198.80.67:6667 SENT 4280/bash
tcp 0 1 10.109.131.20:46549 208.64.123.210:6667 SENT 4280/bash
tcp 0 1 10.109.131.20:35862 208.83.20.130:6667 SENT 4280/bash
[root@prod12 ~]#
此服务器上故意没有与 IRC 相关的内容。有谁知道这是什么病毒或诸如此类的东西,以便我可以在线搜索如何删除?
答案1
查看进程列表,了解进程 4280(位于 netstat 输出的最右侧)的命令行是什么。这应该会提供可执行文件的位置和名称。
如果您没有使用 IRC 端口安装或运行任何软件,这很可能是与僵尸网络主服务器的连接。这些通常用于向僵尸网络服务器发送控制命令。停止该程序,将其删除(或将其移动到安全的地方以进行取证)并检查攻击者是如何进入的(最有可能是 Web 应用程序中存在问题、SSH 密码薄弱等),以及攻击者是否安装了其他软件或进行了重新配置。
将来,如果可能的话,您可能需要考虑对出站连接进行更严格的防火墙。
答案2
如果您的服务器已连接到互联网,则很可能已被黑客入侵。如果这是一项生产服务,则应恢复以前的干净备份,因为您不知道是否已识别出服务器中安装的所有恶意软件/rootkit。
如果你想寻找此问题的原因,你可以尝试按照本指南操作http://heylinux.com/en/?p=97