Cierra los puertos con iptables, te estan sacando la vuelta.
Saludos. ----- Mensaje original ----- De: "Jose Sabastizagal" <[email protected]> Para: [email protected] Enviados: Viernes, 20 de Abril 2012 9:43:18 Asunto: [l-plug] Servidor bajo ataque Saludos, Tengo un servidor Centos 5.7 que tiene alojados servicios de ftp, correo, ldap y otros, esta configurado un firewall con Shorewall y proxy con Squid, desde la semana pasada tengo problemas con la conexión a internet, cada ciertas horas se pierde. El problema inició a mediados de la semana pasada, creí que era algún problema con algún demonio o servicio así que en 2 oportunidades reinicieel servidor y el problema aparentemente se solucionó, en los logs (messages, secure, access. etc) parece normal. Al correr IPTRAF veo que existen conexiones hacia internet a diferentes IP de una cantidad enorme de paquetes a gran velocidad que salen desde la red hacia internet, los puertos que utiliza para salir son altos de 30000 para arriba, con el comando ps -ax he visto que en esos momento se activa un proceso justo hacia la IP que muestra IPTRAF con 2 variantes, en esos momentos ninguna maquina tiene salida a internet y la red se vuelve lenta, el proceso por ejemplo es el siguiente: 23182 ? Ss ./std 58.223.81.18 41862 ó 21142 ? Sa ./f4 58.223.81.18 41862 Si mato el proceso con kill -9 las conexiones a internet se restablecen sin problemas, las IP son distintas, varían y pertenecen a servidores en Corea y Nueva Zelanda. Además con IPTRAF veo que ya no tengo salida directa hacia internet sino que todas mis conexiones son hacia Servidores Proxy de Telefónica cachesis.tdp.net.pe con puertos altos. También hay un proceso que me llama la atención pues antes no había percatado que estuviera corriendo 8718 ? S 0:00 /usr/sbin/nm-system-settings --config /etc/NetworkManager/nm-system-settings.conf Dentro de /etc/NetworkManager/nm-system-settings.conf tiene : [main] plugins=ifcfg-rh Evidentemente el servidor esta comprometido, ¿existirá alguna manera de corregir el problema o la única solución es reinstalar nuevamente?, he ejecutado rkhunter y chrootkit y muestran todo OK, me falta probar con Snort. Agradeceré las sugerencias y orientaciones donde poder buscar, gracias por su tiempo _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php -- ___________________________________________ Humberto Alcazar Zumaran www.g4s.com.pe Por favor considere el medio ambiente antes de imprimir este correo electrónico.
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
