Hola Jose
En mi trabajo tuve un problema similar, se ocupaba el trafico de salida descubri que se enviaban correos masivos, al revisar el log de envios, alli identifique las cuentas que hacien el spam. Resulta que un software se ha instalo varios clientes de win, como las pcs esta autorizada hacia envios masivos desde el cliente. Primero en el servidor de correos puse las reglas para que solo recibiera y envie correos que validadara el dominio que no este oculto es decir verificar la cabecera y que el dominio corresponda al correo por lo general estos correos se enmascaran y esconde, salen como si fueran correos validos. Después instala un proxy intermedio con 2 tarjetas una para la LAN otra para la WAN. y para dar salida use el NAT de IP Local a IP Publico y viceversa. Identifique las PC infectadas las limpias y se soluciono el problema Saludos Rony On Fri, 20 Apr 2012 13:15:09 -0500, Clever Flores wrote: Reinstala el servidor y separa los servicios si tu máquina es potente pon sólo firewall en el host anfitrión y en máquinas virtuales el proxy y los servicios públicos (ftp,correo y web) tu servidor ponlo con 3 interfaces de red; una sin conexión para que crees una DMZ en el anfitrión y el virtual y la otra la conectas a tu switch de LAN ahi puede compartir la conexión para la máquina virtual de proxy Si tu máquina no es potente al menos ponle sólo firewall y proxy y consigue otro equipo para ftp,correo y web El 20 de abril de 2012 09:43, Jose Sabastizagal escribió: Saludos, Tengo un servidor Centos 5.7 que tiene alojados servicios de ftp, correo, ldap y otros, esta configurado un firewall con Shorewall y proxy con Squid, desde la semana pasada tengo problemas con la conexión a internet, cada ciertas horas se pierde. El problema inició a mediados de la semana pasada, creí que era algún problema con algún demonio o servicio así que en 2 oportunidades reinicieel servidor y el problema aparentemente se solucionó, en los logs (messages, secure, access. etc) parece normal. Al correr IPTRAF veo que existen conexiones hacia internet a diferentes IP de una cantidad enorme de paquetes a gran velocidad que salen desde la red hacia internet, los puertos que utiliza para salir son altos de 30000 para arriba, con el comando ps -ax he visto que en esos momento se activa un proceso justo hacia la IP que muestra IPTRAF con 2 variantes, en esos momentos ninguna maquina tiene salida a internet y la red se vuelve lenta, el proceso por ejemplo es el siguiente: 23182 ? Ss ./std 58.223.81.18 41862 ó 21142 ? Sa ./f4 58.223.81.18 41862 Si mato el proceso con kill -9 las conexiones a internet se restablecen sin problemas, las IP son distintas, varían y pertenecen a servidores en Corea y Nueva Zelanda. Además con IPTRAF veo que ya no tengo salida directa hacia internet sino que todas mis conexiones son hacia Servidores Proxy de Telefónica cachesis.tdp.net.pe [2] con puertos altos. También hay un proceso que me llama la atención pues antes no había percatado que estuviera corriendo 8718 ? S 0:00 /usr/sbin/nm-system-settings --config /etc/NetworkManager/nm-system-settings.conf Dentro de /etc/NetworkManager/nm-system-settings.conf tiene : [main] plugins=ifcfg-rh Evidentemente el servidor esta comprometido, ¿existirá alguna manera de corregir el problema o la única solución es reinstalar nuevamente?, he ejecutado rkhunter y chrootkit y muestran todo OK, me falta probar con Snort. Agradeceré las sugerencias y orientaciones donde poder buscar, gracias por su tiempo _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe [3]) Participa suscribiéndote y escribiendo a: [email protected] [4] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug [5] IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php [6] http://www.linux.org.pe/listas/comportamiento.php [7] http://www.linux.org.pe/listas/recomendaciones.php [8] -- Clever Flores Perú Linux SAC Tel: 640-5800 Anexo 104 Blog: http://www.perulinux.pe/blog/clever [9] -- This message has been scanned for viruses and dangerous content by MAILSCANNER [10], and is believed to be clean. RONY CAMARENA BENITO Encargado de Sistemas Colegio San Andrés Telf. 433-4189 Anexo 237 RPC 987-179-484 Links: ------ [1] mailto:[email protected] [2] http://cachesis.tdp.net.pe [3] http://www.linux.org.pe [4] mailto:[email protected] [5] http://voip2.voip.net.pe/mailman/listinfo/linux-plug [6] http://www.linux.org.pe/listas/reglas.php [7] http://www.linux.org.pe/listas/comportamiento.php [8] http://www.linux.org.pe/listas/recomendaciones.php [9] http://www.perulinux.pe/blog/clever [10] http://www.mailscanner.info/ -- This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean.
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
