Странные tcp сетевые подключения 149.9.1.16:ircd

Question

Странные tcp сетевые подключения 149.9.1.16:ircd

Возможный дубликат:
Мой сервер был взломан АВАРИЙНЫЙ

Я вижу странное tcp-соединение 149.9.1.16:ircd и запускает службу perl, и этот процесс создает огромную нагрузку на сервер IPV4 TCP 3u MYIP:58449 -> 149.9.1.16:ircd ESTABLISHED

Могу ли я узнать, работает ли эта вредоносная программа или любая другая служба и использует ресурсы моего сервера?

0

centos malware irc

Источник

lakshman 27 фев '12 в 07:33

2 ответа

Другие вопросы по тегам centos malware irc

Iain 27 фев '12 в 08:04 2012-02-27 08:04 · Answer 1 · 2012-02-27 08:04

Если это не то, что вы ожидаете, то это скорее всего вредоносное ПО. Ваше единственное реальное решение - отключить систему. Получить изображение для последующего анализа. Обнуление системы с орбиты, а затем восстановление из заведомо хорошей резервной копии - это единственный способ быть уверенным.

stderr 27 фев '12 в 07:45 2012-02-27 07:45 · Answer 2 · 2012-02-27 07:45

Это плохо - похоже, ваш сервер является частью ботнета.

Если вы не знаете, где выполняется процесс, проверьте некоторую информацию о нем ("pid" - это идентификатор процесса):

ls -l / proc / 'pid' / fd
cat / proc / 'pid' / cmdline

Найдите плохой сценарий и убейте его. Я думаю, он находится в /tmp, /var/tmp или в определенной временной директории для вашего веб-сервера. Это хороший шанс, что скрипт был загружен через плохо закодированные веб-страницы; найти и починить.