Processo bash !!
nicola mondinelli
nicola.mondinelli a yoda2000.net
Lun 8 Gen 2007 12:55:27 UTC
Luciano Lucini ha scritto:
> Controllando con il commando lsof -P -i per vedere quail porte ho in ascolto
> ho trovato questo processo che non riesco a collegare ad un servizio da me
> attivato.
> Qualcuno mi sa spiegare di cosa si tratta.
>
>
>
> bash 17789 sistema 1u IPv4 75971 TCP
> server.gruppo:23242->undernet.irc.justedge.net:6667 (ESTABLISHED)
> bash 17789 sistema 2u IPv4 85677 TCP
> server.gruppo:14627->undernet.vel.net:6667 (ESTABLISHED)
> bash 17789 sistema 3u IPv4 69558 UDP *:1121
> bash 17789 sistema 4u IPv4 76956 TCP
> server.gruppo:24228->undernet.vel.net:6667 (ESTABLISHED)
> bash 17789 sistema 5u IPv4 75422 TCP
> server.gruppo:5930->mesa.az.us.undernet.org:6667 (ESTABLISHED)
>
> Grazie Luciano
>
> --------------------------------------------------------------------------
>
1)ti consiglio di usare il comando:
netstat -etp --ip | grep ESTABLISHED
in maniera tale da avere sotto mano anche il relativo programma che ha
aperto il socket.
2) la porta 6667 al quale il tuo server si collega è una porta IRC,
quindi o qualcuno che conosci usa la chat irc da quel computer, oppure
qualcuno che non conosci lo sta usando :)
3) il server contattato è un server IRC valido che risiede a los
angeles, quindi in caso ti abbiano sfondato la macchina lo usano come
ulteriore anonimyzer relay per i loro attacchi.
controlla bene quale processo ha lanciato la connessione e se hai
iptables sulla macchina e vuoi buttare giù tutte le connessioni verso
server irc alla svelta usa:
iptables --dport 6667 -j DROP
:)
se l'output del tuo lsof e quello di netstat non sono coerenti allora
probabilmente di hanno bucato la macchina (ma non vuol dire che se sono
uguali non te l'hanno bucata ugualmente!!!! :) )
ciao
NM
Maggiori informazioni sulla lista
Lug
|