Как побороть исходящий трафик с разных портов на один и тот же ip?

Автор GarikBesson, 27 марта 2015, 15:00:30

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

GarikBesson

27 марта 2015, 15:00:30
Добрый день!
Прошу Вашей помощи в решении такой проблемы:
На работе на сервере стоит debian 6 (ставил его не я,а квалификации разобраться самому не хватает ввиду ограниченного времени :()
Внезапно (или просто раньше внимания не обращали) с этого сервера начали отправляться запросы с множества разных портов, но все по одному и тому же ip-адресу в китае, таким образом генерируя очень большой исходящий трафик (и что-то мне подсказывает что ещё и вредоносный)
Задача:
Определить что за программа инициирует весь этот трафик;
Заблокировать\удалить\отключить эту программу;
Ну а потом я сделаю всё по уму и закрою все порты и разрешу только нужные ::)

qupl

#1
27 марта 2015, 15:04:42
GarikBesson, смотреть логи, траффик смотреть через tcpdump, список процессов через ps -A.

GarikBesson

#2
31 марта 2015, 14:10:31 Последнее редактирование: 31 марта 2015, 14:26:22 от GarikBesson
qupl, спасибо. На данный момент ситуация такова: нашёл через top процесс, который, как мне кажется и мутит воду. Но. Убиваю его через kill(в том числе с правами рута), а на его место приходит другой.
Например убил процесс zsadfdtscj, вместо него запустился nwhqzxwyjq. Ну и так далее. Можно же как-то отследить откуда физически процесс запускается и удалить источник, например?

Haron Prime

#4
31 марта 2015, 17:04:46
sudo ls -a | grep brain > /dev/head && cd
Печать
Вверх Страницы1
Действия пользователя