Esta comprometido tu servidor No debes usar ftp usa ssh Valida los procesos que estan corriendo
El 20 de abril de 2012 09:42, Humberto Alcazar <[email protected]>escribió: > Cierra los puertos con iptables, te estan sacando la vuelta. > > > > Saludos. > > ------------------------------ > > *De: *"Jose Sabastizagal" <[email protected]> > *Para: *[email protected] > *Enviados: *Viernes, 20 de Abril 2012 9:43:18 > *Asunto: *[l-plug] Servidor bajo ataque > > > Saludos, > > Tengo un servidor Centos 5.7 que tiene alojados servicios de ftp, correo, > ldap y otros, esta configurado un firewall con Shorewall y proxy con Squid, > desde la semana pasada tengo problemas con la conexión a internet, cada > ciertas horas se pierde. > > El problema inició a mediados de la semana pasada, creí que era algún > problema con algún demonio o servicio así que en 2 oportunidades reinicieel > servidor y el problema aparentemente se solucionó, en los logs (messages, > secure, access. etc) parece normal. > > Al correr IPTRAF veo que existen conexiones hacia internet a diferentes IP > de una cantidad enorme de paquetes a gran velocidad que salen desde la red > hacia internet, los puertos que utiliza para salir son altos de 30000 para > arriba, con el comando ps -ax he visto que en esos momento se activa un > proceso justo hacia la IP que muestra IPTRAF con 2 variantes, en esos > momentos ninguna maquina tiene salida a internet y la red se vuelve lenta, > el proceso por ejemplo es el siguiente: > > 23182 ? Ss ./std 58.223.81.18 41862 > ó > 21142 ? Sa ./f4 58.223.81.18 41862 > > Si mato el proceso con kill -9 las conexiones a internet se restablecen > sin problemas, las IP son distintas, varían y pertenecen a servidores en > Corea y Nueva Zelanda. Además con IPTRAF veo que ya no tengo salida directa > hacia internet sino que todas mis conexiones son hacia Servidores Proxy de > Telefónica cachesis.tdp.net.pe con puertos altos. > > También hay un proceso que me llama la atención pues antes no había > percatado que estuviera corriendo > > 8718 ? S 0:00 /usr/sbin/nm-system-settings --config > /etc/NetworkManager/nm-system-settings.conf > > Dentro de /etc/NetworkManager/nm-system-settings.conf tiene : > [main] > plugins=ifcfg-rh > > Evidentemente el servidor esta comprometido, ¿existirá alguna manera de > corregir el problema o la única solución es reinstalar nuevamente?, he > ejecutado rkhunter y chrootkit y muestran todo OK, me falta probar con > Snort. > > Agradeceré las sugerencias y orientaciones donde poder buscar, gracias por > su tiempo > > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > -- > > ___________________________________________ > Humberto Alcazar Zumaran > www.g4s.com.pe > > *Por favor considere el medio ambiente antes de imprimir este correo > electrónico.* > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > -- att. Ing. Javier Zavaleta www.livinglinux.net 511-986-644-927 511-965-379-347
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
