Foros del Web » Administración de Sistemas » Software para Servers »

IRC Botnet Activity

Estas en el tema de IRC Botnet Activity en el foro de Software para Servers en Foros del Web. Hola. Me ha llegado el siguiente correo. Parece ser que tengo algún bicho que está usando mi servidor Por más que busco, no encuentro nada ...
  #1 (permalink)  
Antiguo 23/02/2010, 12:53
 
Fecha de Ingreso: mayo-2005
Mensajes: 26
Antigüedad: 19 años, 5 meses
Puntos: 0
IRC Botnet Activity

Hola. Me ha llegado el siguiente correo. Parece ser que tengo algún bicho que está usando mi servidor
Por más que busco, no encuentro nada extraño, y supongo que lo suyo sería cerrar el puerto, pero no sé muy bien cómo (uso Webmin) ¿alguna idea?

------------

Security coordinators,

I found these suspicious looking connections on the Undernet IRC Chat
Network connecting from a netblock you control ( xxxxxxxxxx ).

He encontrado estas conexiones sospechosas buscando en el chat IRC Undernet
Red de conexión de un netblock a controlar (xxxxxxxxxxxx).

The listed contact for this net range is xxxxxxxxxxx.

El contacto que figuran para esta gama de neto es [email protected].

The destination ip each one was connected to is listed below.
The destination port they were using is most likely port 6667. Other
possible ports include 6660-7000, 8888, and 8080.

El IP de destino de cada uno estaba conectado a continuación se indican.
El puerto de destino que estaban utilizando es el puerto más probable es 6667. Otro
los puertos posibles incluyen 6660-7000, 8888, y 8080.

Please check for a compromise, possible hidden process running and an
altered process listing. Run the updates for your system to close
possible exploit holes, and send any unusual programs found to
[email protected] for investigation.

Por favor, consulte por un compromiso, proceso oculto y una posible ejecución
Lista proceso alterado. Ejecute las actualizaciones para su sistema para cerrar
posible explotar los agujeros, y enviar todos los programas inusual encontrar a
[email protected] para la investigación.

This email is being cc'd to our abuse department for record-keeping.

Thank you for your cooperation.

Regards,
- Ralf

J. R. Lenz
Undernet IRC Operator


The logs are formatted as such:
nickname!ident@ip (irc server it was connected to).

The IRC server ips are listed at the end. Consider that most of these
connections get banned from Undernet preemptively, so a netstat may not
show established connections. If you rely on netstat and need help
revealing the exploit, reply to this email.

Log taken at 2010.Feb.11 4:20:56 PM PST

[email protected] (Elsene)
[email protected] (Elsene)
[email protected] (Diemen)


Server ips:
Tampa = 208.83.20.130
Budapest = 94.125.182.255
Bucharest = 62.231.74.10
Diemen = 194.109.20.90
Elsene = 195.144.12.5
Graz = 129.27.9.248
Helsinki = 195.197.175.21
Lelystad = 195.47.220.2
Mesa = 69.16.172.34
Mesa2 = 69.16.172.40
Newyork = 64.18.128.86
Oslo = 82.196.213.250
Vancouver = 72.51.18.254
Santaana = 66.186.59.50
Lidingo = 130.237.188.216

------------

Etiquetas: activity, bonet, irc, server
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 15:28.