Bonjour,
Il ya quelques jours, j'ai identifié sur un serveur Ubuntu une connexion sortante suspecte vers un serveur irc
Commande :
Trace :
tcp6 0 0 monserveur.amoi:http irc.efnet.nl:ircd SYN_RECV -
J'ai donc bloqué les ports dans ufw qui concernent le range 6660-7000 (qui auraient déjà dû être bloqués car UFW fonctionne par whitelist 
).
Malheureusement, comme j"ai des lacunes en systèmes et en sécurité, je n'ai pas eu la présence d'esprit d'utiliser la commande lsof pour tenter d'identifier le processus en cause.
J'aimerais identifier la trace de cette connexion suspecte dans les logs.
Pourriez-vous m'indiquer quelle est la traduction numérique du port indiqué comme "ircd".
Je crois aussi que la connexion sortante est partie par le port 80 (http) donc le log Apache pourrait me renseigner sur le problème, mais il semble que l'adresse soit en Ipv6. Est-ce que le log Apache peut néanmoins indiquer ce type d'IP ?
Merci pour votre aide.
Identifier le port et la trace dans les logs d'une connexion sortante irc
Répondre avec citation
Partager