Hola. Me ha llegado el siguiente correo. Parece ser que tengo algún bicho que está usando mi servidor
Por más que busco, no encuentro nada extraño, y supongo que lo suyo sería cerrar el puerto, pero no sé muy bien cómo (uso Webmin) ¿alguna idea?
------------
Security coordinators,
I found these suspicious looking connections on the Undernet IRC Chat
Network connecting from a netblock you control ( xxxxxxxxxx ).
He encontrado estas conexiones sospechosas buscando en el chat IRC Undernet
Red de conexión de un netblock a controlar (xxxxxxxxxxxx).
The listed contact for this net range is xxxxxxxxxxx.
El contacto que figuran para esta gama de neto es
[email protected].
The destination ip each one was connected to is listed below.
The destination port they were using is most likely port 6667. Other
possible ports include 6660-7000, 8888, and 8080.
El IP de destino de cada uno estaba conectado a continuación se indican.
El puerto de destino que estaban utilizando es el puerto más probable es 6667. Otro
los puertos posibles incluyen 6660-7000, 8888, y 8080.
Please check for a compromise, possible hidden process running and an
altered process listing. Run the updates for your system to close
possible exploit holes, and send any unusual programs found to
[email protected] for investigation.
Por favor, consulte por un compromiso, proceso oculto y una posible ejecución
Lista proceso alterado. Ejecute las actualizaciones para su sistema para cerrar
posible explotar los agujeros, y enviar todos los programas inusual encontrar a
[email protected] para la investigación.
This email is being cc'd to our abuse department for record-keeping.
Thank you for your cooperation.
Regards,
- Ralf
J. R. Lenz
Undernet IRC Operator
The logs are formatted as such:
nickname!ident@ip (irc server it was connected to).
The IRC server ips are listed at the end. Consider that most of these
connections get banned from Undernet preemptively, so a netstat may not
show established connections. If you rely on netstat and need help
revealing the exploit, reply to this email.
Log taken at 2010.Feb.11 4:20:56 PM PST
[email protected] (Elsene)
[email protected] (Elsene)
[email protected] (Diemen)
Server ips:
Tampa = 208.83.20.130
Budapest = 94.125.182.255
Bucharest = 62.231.74.10
Diemen = 194.109.20.90
Elsene = 195.144.12.5
Graz = 129.27.9.248
Helsinki = 195.197.175.21
Lelystad = 195.47.220.2
Mesa = 69.16.172.34
Mesa2 = 69.16.172.40
Newyork = 64.18.128.86
Oslo = 82.196.213.250
Vancouver = 72.51.18.254
Santaana = 66.186.59.50
Lidingo = 130.237.188.216
------------