por lo que cuenta le hackearon el servidor y el servidor esta enviando un ataque masivo, revisa bien donde estan los script y mira que puedes hacer...
El 20 de abril de 2012 11:51, Jorge Felix Ramirez Yto < [email protected]> escribió: > huy sorry me confundi.. > > > ####################################################################################################### > > > El 20 de abril de 2012 11:50, Jorge Felix Ramirez Yto < > [email protected]> escribió: > > Comprometido el servidor?... ftp en los sws y router?.. si de echo no he >> contemplado seguridad en los equipos aún jeje. gracias. porfin ya me salio >> tenia vasrias fallas y gracias por sus orientaciones porfin vi como manejar >> las rutas para que converga. >> >> Pero aún tengo la duda sobre la vlan40.. ya que tube que usar una ruta >> por defecto 0.0.0.0 para que saliera. .. >> >> >> ####################################################################################################### >> >> >> El 20 de abril de 2012 09:53, Javier Zavaleta <[email protected]>escribió: >> >> Esta comprometido tu servidor >>> No debes usar ftp usa ssh >>> Valida los procesos que estan corriendo >>> >>> >>> >>> El 20 de abril de 2012 09:42, Humberto Alcazar < >>> [email protected]> escribió: >>> >>> Cierra los puertos con iptables, te estan sacando la vuelta. >>>> >>>> >>>> >>>> Saludos. >>>> >>>> ------------------------------ >>>> >>>> *De: *"Jose Sabastizagal" <[email protected]> >>>> *Para: *[email protected] >>>> *Enviados: *Viernes, 20 de Abril 2012 9:43:18 >>>> *Asunto: *[l-plug] Servidor bajo ataque >>>> >>>> >>>> Saludos, >>>> >>>> Tengo un servidor Centos 5.7 que tiene alojados servicios de ftp, >>>> correo, ldap y otros, esta configurado un firewall con Shorewall y proxy >>>> con Squid, desde la semana pasada tengo problemas con la conexión a >>>> internet, cada ciertas horas se pierde. >>>> >>>> El problema inició a mediados de la semana pasada, creí que era algún >>>> problema con algún demonio o servicio así que en 2 oportunidades reinicieel >>>> servidor y el problema aparentemente se solucionó, en los logs (messages, >>>> secure, access. etc) parece normal. >>>> >>>> Al correr IPTRAF veo que existen conexiones hacia internet a diferentes >>>> IP de una cantidad enorme de paquetes a gran velocidad que salen desde la >>>> red hacia internet, los puertos que utiliza para salir son altos de 30000 >>>> para arriba, con el comando ps -ax he visto que en esos momento se activa >>>> un proceso justo hacia la IP que muestra IPTRAF con 2 variantes, en esos >>>> momentos ninguna maquina tiene salida a internet y la red se vuelve lenta, >>>> el proceso por ejemplo es el siguiente: >>>> >>>> 23182 ? Ss ./std 58.223.81.18 41862 >>>> ó >>>> 21142 ? Sa ./f4 58.223.81.18 41862 >>>> >>>> Si mato el proceso con kill -9 las conexiones a internet se restablecen >>>> sin problemas, las IP son distintas, varían y pertenecen a servidores en >>>> Corea y Nueva Zelanda. Además con IPTRAF veo que ya no tengo salida directa >>>> hacia internet sino que todas mis conexiones son hacia Servidores Proxy de >>>> Telefónica cachesis.tdp.net.pe con puertos altos. >>>> >>>> También hay un proceso que me llama la atención pues antes no había >>>> percatado que estuviera corriendo >>>> >>>> 8718 ? S 0:00 /usr/sbin/nm-system-settings --config >>>> /etc/NetworkManager/nm-system-settings.conf >>>> >>>> Dentro de /etc/NetworkManager/nm-system-settings.conf tiene : >>>> [main] >>>> plugins=ifcfg-rh >>>> >>>> Evidentemente el servidor esta comprometido, ¿existirá alguna manera de >>>> corregir el problema o la única solución es reinstalar nuevamente?, he >>>> ejecutado rkhunter y chrootkit y muestran todo OK, me falta probar con >>>> Snort. >>>> >>>> Agradeceré las sugerencias y orientaciones donde poder buscar, gracias >>>> por su tiempo >>>> >>>> >>>> >>>> _______________________________________________ >>>> Lista de correo Linux-plug >>>> Temática: Discusión general sobre Linux >>>> Peruvian Linux User Group (http://www.linux.org.pe) >>>> >>>> Participa suscribiéndote y escribiendo a: [email protected] >>>> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >>>> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >>>> >>>> IMPORTANTE: Reglas y recomendaciones >>>> http://www.linux.org.pe/listas/reglas.php >>>> http://www.linux.org.pe/listas/comportamiento.php >>>> http://www.linux.org.pe/listas/recomendaciones.php >>>> >>>> -- >>>> >>>> ___________________________________________ >>>> Humberto Alcazar Zumaran >>>> www.g4s.com.pe >>>> >>>> *Por favor considere el medio ambiente antes de imprimir este correo >>>> electrónico.* >>>> >>>> _______________________________________________ >>>> Lista de correo Linux-plug >>>> Temática: Discusión general sobre Linux >>>> Peruvian Linux User Group (http://www.linux.org.pe) >>>> >>>> Participa suscribiéndote y escribiendo a: [email protected] >>>> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >>>> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >>>> >>>> IMPORTANTE: Reglas y recomendaciones >>>> http://www.linux.org.pe/listas/reglas.php >>>> http://www.linux.org.pe/listas/comportamiento.php >>>> http://www.linux.org.pe/listas/recomendaciones.php >>>> >>> >>> >>> >>> -- >>> att. >>> >>> Ing. Javier Zavaleta >>> www.livinglinux.net >>> 511-986-644-927 >>> 511-965-379-347 >>> >>> >>> _______________________________________________ >>> Lista de correo Linux-plug >>> Temática: Discusión general sobre Linux >>> Peruvian Linux User Group (http://www.linux.org.pe) >>> >>> Participa suscribiéndote y escribiendo a: [email protected] >>> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >>> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >>> >>> IMPORTANTE: Reglas y recomendaciones >>> http://www.linux.org.pe/listas/reglas.php >>> http://www.linux.org.pe/listas/comportamiento.php >>> http://www.linux.org.pe/listas/recomendaciones.php >>> >> >> > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
