linux user group brescia

Luciano Lucini ha scritto:
> Controllando con il commando lsof -P -i per vedere quail porte ho in ascolto
> ho trovato questo processo che non riesco a collegare ad un servizio da me
> attivato.
> Qualcuno mi sa spiegare di cosa si tratta.
> 
>  
> 
> bash      17789 sistema    1u  IPv4  75971       TCP
> server.gruppo:23242->undernet.irc.justedge.net:6667 (ESTABLISHED)
> bash      17789 sistema    2u  IPv4  85677       TCP
> server.gruppo:14627->undernet.vel.net:6667 (ESTABLISHED)
> bash      17789 sistema    3u  IPv4  69558       UDP *:1121
> bash      17789 sistema    4u  IPv4  76956       TCP
> server.gruppo:24228->undernet.vel.net:6667 (ESTABLISHED)
> bash      17789 sistema    5u  IPv4  75422       TCP
> server.gruppo:5930->mesa.az.us.undernet.org:6667 (ESTABLISHED)
> 
> Grazie Luciano 
> 
> --------------------------------------------------------------------------
> 
1)ti consiglio di usare il comando:
netstat -etp --ip | grep ESTABLISHED

in maniera tale da avere sotto mano anche il relativo programma che ha
aperto il socket.

2) la porta 6667 al quale il tuo server si collega è una porta IRC,
quindi o qualcuno che conosci usa la chat irc da quel computer, oppure
qualcuno che non conosci lo sta usando :)

3) il server contattato è un server IRC valido che risiede a los
angeles, quindi in caso ti abbiano sfondato la macchina lo usano come
ulteriore anonimyzer relay per i loro attacchi.

controlla bene quale processo ha lanciato la connessione e se hai
iptables sulla macchina e vuoi buttare giù tutte le connessioni verso
server irc alla svelta usa:
iptables --dport 6667 -j DROP
:)

se l'output del tuo lsof e quello di netstat non sono coerenti allora
probabilmente di hanno bucato la macchina (ma non vuol dire che se sono
uguali non te l'hanno bucata ugualmente!!!! :) )

ciao

NM