Webserver macht SYN_SEND

[grunet]

Hallo zusammen

Ich weiss, eigentlich ist ayom.com ein Internet-Marketing Forum. Doch ich bekamm hier imemr top-Antworten und deshalb versuch ich es nun ebenfalls hier.

Ich habe das Problem, dass mein Webserver (linux gentoo) irgendwelchen Virus/Trojaner oder was auch immer eingefangen hat. Jetzt macht mein webserver die ganze Zeit SYN/ACK...

Leider erfahre ich im Internet nur wie man solche blocken kann, jedoch nicht genau wie ich ein infiziertes System reinigen kann.

Hat jemand vieleicht erfahrung mit solchen Problemen?

CODE netstat -tn
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 43 192.168.1.3:33973 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33930 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33931 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33928 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33933 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33951 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33948 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33936 67.19.65.196:6667 LAST_ACK
tcp 0 43 192.168.1.3:33995 67.19.65.196:6667 LAST_ACK
tcp 0 1 192.168.1.3:33999 67.19.65.196:6667 SYN_SENT
tcp 0 1 192.168.1.3:33985 67.19.65.196:6667 SYN_SENT
tcp 0 43 192.168.1.3:33989 67.19.65.196:6667 LAST_ACK
tcp 0 42 192.168.1.3:34002 67.19.65.196:6667 ESTABLISHED
tcp 0 1 192.168.1.3:34003 67.19.65.196:6667 SYN_SENT
tcp 0 1 192.168.1.3:34000 67.19.65.196:6667 SYN_SENT
tcp 0 1 192.168.1.3:34001 67.19.65.196:6667 SYN_SENT
tcp 0 0 192.168.1.3:57095 67.19.65.196:6667 ESTABLISHED
tcp 0 396 192.168.1.3:22 192.168.1.11:2537 ESTABLISHED
tcp 0 42 192.168.1.3:60369 67.19.65.196:6667 ESTABLISHED
tcp 0 42 192.168.1.3:60730 67.19.65.196:6667 ESTABLISHED
tcp 0 42 192.168.1.3:60926 67.19.65.196:6667 ESTABLISHED
tcp 0 0 192.168.1.3:58572 67.19.65.196:6667 ESTABLISHED
tcp 0 0 192.168.1.3:58586 67.19.65.196:6667 ESTABLISHED
tcp 0 0 192.168.1.3:58582 67.19.65.196:6667 ESTABLISHED



Bin um jegliche Hilfe froh.
PS: Ich benutze Linux, was nicht heisst das ich es verstehe

 

[waquner]

soweit ich weiss is port 6667 für IRC... hast du irgendetwas irc-mäßiges am server?

 

[grunet]

nicht das ich wüsste (benutze ich nicht), wie würde den der services heissen? evt. wurde er mir unerwünscht eingestellt.

 

[waquner]

Schau mal was dir

CODE fuser -uvn tcp 6667


liefert

lg waquner

 

[René Weber]

Ciao grunet,

Ich habe mal schnell für dich gegoogelt.
Es gibt einige Troyaner die den port 6667 IRC in bestimmten Linux Kernels ausnützen.
Scheint aber eher älter zu sein (so um 2001 und 2002)
Falls du einen alten Kernel hast, solltest du auch mal googeln.

Mein search string war: "linux port 6667"

Hier eine aktuelle Information (ich hoffe du verstehst ein wenig Französisch):
QUOTE Backdoor.Maxload est un cheval de troie affectant les ordinateurs sous Linux et UNIX, et permet des accès distants non-autorisés sur les machines infectées.

Ce trojan se fait passer pour une application exploitant la vulnérabilité DCOM RPC de Windows. Le cheval de troie a été aperçu sur de nombreux newsgroups et forums sous le nom "New Remote Windows Exploit." le téléchargement contient deux fichiers :
- maxload (An ELF file.)
- maxload.c (The source code of the Trojan.)

Lorsque Backdoor.Maxload est exécuté, il effectue les actions suivantes :
- Il exécute un script perl présent dans le fichier ELF.
- Il tente de se connecter au serveur IRC ir3ip.net, via le port TCP 6667.
- Il tente de joindre un canal prédéterminé est attend les commandes d'un attaquant distant.


Jedenfalls würde ich die Maschine vom Netz nehmen und nach einem Backup eine neueste Version des Kernels installieren.

Mit besten Grüssen
Boubou7

 

[grunet]

QUOTE (waquner @ Sa 19.11.2005, 14:53)
CODE fuser -uvn tcp 6667


liefert mir überhaupt nichts.