Comprometido el servidor?... ftp en los sws y router?.. si de echo no he contemplado seguridad en los equipos aún jeje. gracias. porfin ya me salio tenia vasrias fallas y gracias por sus orientaciones porfin vi como manejar las rutas para que converga.
Pero aún tengo la duda sobre la vlan40.. ya que tube que usar una ruta por defecto 0.0.0.0 para que saliera. .. ####################################################################################################### El 20 de abril de 2012 09:53, Javier Zavaleta <[email protected]>escribió: > Esta comprometido tu servidor > No debes usar ftp usa ssh > Valida los procesos que estan corriendo > > > > El 20 de abril de 2012 09:42, Humberto Alcazar < > [email protected]> escribió: > > Cierra los puertos con iptables, te estan sacando la vuelta. >> >> >> >> Saludos. >> >> ------------------------------ >> >> *De: *"Jose Sabastizagal" <[email protected]> >> *Para: *[email protected] >> *Enviados: *Viernes, 20 de Abril 2012 9:43:18 >> *Asunto: *[l-plug] Servidor bajo ataque >> >> >> Saludos, >> >> Tengo un servidor Centos 5.7 que tiene alojados servicios de ftp, correo, >> ldap y otros, esta configurado un firewall con Shorewall y proxy con Squid, >> desde la semana pasada tengo problemas con la conexión a internet, cada >> ciertas horas se pierde. >> >> El problema inició a mediados de la semana pasada, creí que era algún >> problema con algún demonio o servicio así que en 2 oportunidades reinicieel >> servidor y el problema aparentemente se solucionó, en los logs (messages, >> secure, access. etc) parece normal. >> >> Al correr IPTRAF veo que existen conexiones hacia internet a diferentes >> IP de una cantidad enorme de paquetes a gran velocidad que salen desde la >> red hacia internet, los puertos que utiliza para salir son altos de 30000 >> para arriba, con el comando ps -ax he visto que en esos momento se activa >> un proceso justo hacia la IP que muestra IPTRAF con 2 variantes, en esos >> momentos ninguna maquina tiene salida a internet y la red se vuelve lenta, >> el proceso por ejemplo es el siguiente: >> >> 23182 ? Ss ./std 58.223.81.18 41862 >> ó >> 21142 ? Sa ./f4 58.223.81.18 41862 >> >> Si mato el proceso con kill -9 las conexiones a internet se restablecen >> sin problemas, las IP son distintas, varían y pertenecen a servidores en >> Corea y Nueva Zelanda. Además con IPTRAF veo que ya no tengo salida directa >> hacia internet sino que todas mis conexiones son hacia Servidores Proxy de >> Telefónica cachesis.tdp.net.pe con puertos altos. >> >> También hay un proceso que me llama la atención pues antes no había >> percatado que estuviera corriendo >> >> 8718 ? S 0:00 /usr/sbin/nm-system-settings --config >> /etc/NetworkManager/nm-system-settings.conf >> >> Dentro de /etc/NetworkManager/nm-system-settings.conf tiene : >> [main] >> plugins=ifcfg-rh >> >> Evidentemente el servidor esta comprometido, ¿existirá alguna manera de >> corregir el problema o la única solución es reinstalar nuevamente?, he >> ejecutado rkhunter y chrootkit y muestran todo OK, me falta probar con >> Snort. >> >> Agradeceré las sugerencias y orientaciones donde poder buscar, gracias >> por su tiempo >> >> >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php >> >> -- >> >> ___________________________________________ >> Humberto Alcazar Zumaran >> www.g4s.com.pe >> >> *Por favor considere el medio ambiente antes de imprimir este correo >> electrónico.* >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php >> > > > > -- > att. > > Ing. Javier Zavaleta > www.livinglinux.net > 511-986-644-927 > 511-965-379-347 > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
