arkadaşlar merhaba, sunucuların birinin ıp adresi blacklist'e düşmüş kontrol ettiğimde
CBL, FABELSOURCES, Spamhaus ZEN bunlarda listelenmiş olarak görünüyor. Geçen hafta virüsü fark ettiğimde pek anlamadığım için siteleri yedek alıp sunucuyu formatlamıştım, şimdi tekrardan virüs görünüyor. CPU %200lere kadar çıkıyor "asdakjwle" gibi bir işlemde. Kapatıyorum tekrar açılıyor. SSH ile cron işlemlerine baktığımda zamanlayıcı görünmedi yada ben bulamadım.
https://www.abuseat.org/lookup.cgi adresinden baktığımda şöyle bi uyarı veriyor;
Bu IP adresine bulaşmış veya Conficker kötü amaçlı botnet bulaşmış bir makine için NATting yazılmıştır.
Bu, "49298" portundaki "178.32.****" 'den "80.2" portundaki "38.229.181.60" IP adresine giden ( düden deliği ) bir TCP bağlantısı ile tespit edildi .
Bir NAT'ın arkasında, Wireshark gibi bir ağ yönlendiricisine sahip herhangi bir bağlantı noktasında IP adresi "38.229.181.60" veya ana bilgisayar adı "n / a" denenmeye çalışarak virüs bulaşmış makineyi bulabilmeniz gerekir. Aynı şekilde, DNS sunucunuzu veya proxy sunucu günlüklerinizi "38.229.181.60" veya "n / a" referanslarına bakabilirsiniz. Wireshark'ın nasıl kullanılacağı hakkında daha fazla ayrıntı için bkz. Gelişmiş Teknikler - 25 / SMTP bağlantı noktası trafiğine yapılan referansları yoksay - tanımlayıcı etkinlik 25 numaralı bağlantı noktasında DEĞİLDİR.
Lütfen yukarıda belirtilen bilgilerin bir kısmının boş ("") veya "na" veya "-" olabileceğini unutmayın. Bu durumlarda, feed reddetti veya bize bu bilgiyi veremedi. Umarım bağlantıları belirlemenizi sağlayacak kadar bilgi bulunacaktır. Değilse, kontrol edilecek hedef bağlantı noktaları genellikle ağınızdan çıkan 80, 8080, 443 veya yüksek bağlantı noktalarıdır (yaklaşık 16000). Bu enfeksiyonların çoğu çok fazla sayıda bağlantı kurar; öne çıkmalılar.
Tam güvenlik duvarı günlüğünüz yoksa, belki de tüm erişimlerin (herhangi bir portun) güvenlik duvarı bloğunu 38.229.181.60 IP adresine ayarlayabilir ve isabetsiz kalmasını sağlayabilirsiniz
bunu nasıl temizleyebilirim fikri olan varmıdır?
