huy sorry me confundi.. #######################################################################################################
El 20 de abril de 2012 11:50, Jorge Felix Ramirez Yto < [email protected]> escribió: > Comprometido el servidor?... ftp en los sws y router?.. si de echo no he > contemplado seguridad en los equipos aún jeje. gracias. porfin ya me salio > tenia vasrias fallas y gracias por sus orientaciones porfin vi como manejar > las rutas para que converga. > > Pero aún tengo la duda sobre la vlan40.. ya que tube que usar una ruta por > defecto 0.0.0.0 para que saliera. .. > > > ####################################################################################################### > > > El 20 de abril de 2012 09:53, Javier Zavaleta <[email protected]>escribió: > > Esta comprometido tu servidor >> No debes usar ftp usa ssh >> Valida los procesos que estan corriendo >> >> >> >> El 20 de abril de 2012 09:42, Humberto Alcazar < >> [email protected]> escribió: >> >> Cierra los puertos con iptables, te estan sacando la vuelta. >>> >>> >>> >>> Saludos. >>> >>> ------------------------------ >>> >>> *De: *"Jose Sabastizagal" <[email protected]> >>> *Para: *[email protected] >>> *Enviados: *Viernes, 20 de Abril 2012 9:43:18 >>> *Asunto: *[l-plug] Servidor bajo ataque >>> >>> >>> Saludos, >>> >>> Tengo un servidor Centos 5.7 que tiene alojados servicios de ftp, >>> correo, ldap y otros, esta configurado un firewall con Shorewall y proxy >>> con Squid, desde la semana pasada tengo problemas con la conexión a >>> internet, cada ciertas horas se pierde. >>> >>> El problema inició a mediados de la semana pasada, creí que era algún >>> problema con algún demonio o servicio así que en 2 oportunidades reinicieel >>> servidor y el problema aparentemente se solucionó, en los logs (messages, >>> secure, access. etc) parece normal. >>> >>> Al correr IPTRAF veo que existen conexiones hacia internet a diferentes >>> IP de una cantidad enorme de paquetes a gran velocidad que salen desde la >>> red hacia internet, los puertos que utiliza para salir son altos de 30000 >>> para arriba, con el comando ps -ax he visto que en esos momento se activa >>> un proceso justo hacia la IP que muestra IPTRAF con 2 variantes, en esos >>> momentos ninguna maquina tiene salida a internet y la red se vuelve lenta, >>> el proceso por ejemplo es el siguiente: >>> >>> 23182 ? Ss ./std 58.223.81.18 41862 >>> ó >>> 21142 ? Sa ./f4 58.223.81.18 41862 >>> >>> Si mato el proceso con kill -9 las conexiones a internet se restablecen >>> sin problemas, las IP son distintas, varían y pertenecen a servidores en >>> Corea y Nueva Zelanda. Además con IPTRAF veo que ya no tengo salida directa >>> hacia internet sino que todas mis conexiones son hacia Servidores Proxy de >>> Telefónica cachesis.tdp.net.pe con puertos altos. >>> >>> También hay un proceso que me llama la atención pues antes no había >>> percatado que estuviera corriendo >>> >>> 8718 ? S 0:00 /usr/sbin/nm-system-settings --config >>> /etc/NetworkManager/nm-system-settings.conf >>> >>> Dentro de /etc/NetworkManager/nm-system-settings.conf tiene : >>> [main] >>> plugins=ifcfg-rh >>> >>> Evidentemente el servidor esta comprometido, ¿existirá alguna manera de >>> corregir el problema o la única solución es reinstalar nuevamente?, he >>> ejecutado rkhunter y chrootkit y muestran todo OK, me falta probar con >>> Snort. >>> >>> Agradeceré las sugerencias y orientaciones donde poder buscar, gracias >>> por su tiempo >>> >>> >>> >>> _______________________________________________ >>> Lista de correo Linux-plug >>> Temática: Discusión general sobre Linux >>> Peruvian Linux User Group (http://www.linux.org.pe) >>> >>> Participa suscribiéndote y escribiendo a: [email protected] >>> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >>> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >>> >>> IMPORTANTE: Reglas y recomendaciones >>> http://www.linux.org.pe/listas/reglas.php >>> http://www.linux.org.pe/listas/comportamiento.php >>> http://www.linux.org.pe/listas/recomendaciones.php >>> >>> -- >>> >>> ___________________________________________ >>> Humberto Alcazar Zumaran >>> www.g4s.com.pe >>> >>> *Por favor considere el medio ambiente antes de imprimir este correo >>> electrónico.* >>> >>> _______________________________________________ >>> Lista de correo Linux-plug >>> Temática: Discusión general sobre Linux >>> Peruvian Linux User Group (http://www.linux.org.pe) >>> >>> Participa suscribiéndote y escribiendo a: [email protected] >>> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >>> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >>> >>> IMPORTANTE: Reglas y recomendaciones >>> http://www.linux.org.pe/listas/reglas.php >>> http://www.linux.org.pe/listas/comportamiento.php >>> http://www.linux.org.pe/listas/recomendaciones.php >>> >> >> >> >> -- >> att. >> >> Ing. Javier Zavaleta >> www.livinglinux.net >> 511-986-644-927 >> 511-965-379-347 >> >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php >> > >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
