Conexión sospechosa a puerto 24441 en IP 5.9.124.53

Al usar CSF (ConfigServer Security & Firewall), un script que crea y administra un Firewall de Inspección de Paquetes de Estado SPI (Stateful Packet Inspection por sus siglas en inglés) en tu servidor cPanel, puedes haber recibidos mensajes de actividad sospechosa que involucran a la dirección IP 5.9.124.53 y el puerto UDP 24441.  Aquí te explicamos de qué se trata.

El mensaje de alerta que recibes es muy similar a este:

Time:    Tue Sep  6 10:23:55 2022 -0500
PID:     505838 (Parent PID:277467)
Account: dolsenxx
Uptime:  4249 seconds


Executable:

/usr/local/cpanel/3rdparty/perl/532/bin/perl

Command Line (often faked in exploits):

spamd child


Network connections by the process (if any):

tcp: 127.0.0.1:783 -> 127.0.0.1:33504
udp: 20x.xxx.xxx.1:53801 -> 5.9.124.53:24441
udp: 127.0.0.1:55385 -> 127.0.0.1:53


Files open by the process (if any):

/dev/null
/usr/local/cpanel/logs/spamd_error_log
/usr/local/cpanel/logs/spamd_error_log
/usr/local/cpanel/3rdparty/perl/532/bin/spamd
/var/cpanel/locale/en.cdb
/usr/local/cpanel/3rdparty/perl/532/lib/perl5/cpanel_lib/Net/DNS/Resolver/Base.pm
/home3/goldenbl/.spamassassin/bayes_toks
/home3/goldenbl/.spamassassin/bayes_seen

Se trata de una conexión saliente desde tu servidor a un servicio de spam externo gestionado por SpamExperts en el puerto UDP 24441. Está relacionado con el uso de la reglas Pyzor que son usadas por SpamAssassin para determinar si un mensaje de correo entrante es spam.

Esto es completamente normal y no deberías bloquear esto en el firewall pero seguramente te resulta muy molesto recibir muchos mensajes de alerta al día por lo que te decimos aquí como hacer que CSF ignore este proceso.

Para esto debes editar el archivo /etc/csf/csf.pignore y descomentar (o agregar en caso no la tengas) la siguiente línea:

cmd:spamd child

Con esto ya no recibirás estas alertas y puedes dejar de preocuparte.

Deja una respuesta