Olvidate de servidores y anda a la nube.
Date: Fri, 20 Apr 2012 13:15:09 -0500 From: [email protected] To: [email protected] Subject: Re: [l-plug] Servidor bajo ataque Reinstala el servidor y separa los servicios si tu máquina es potente pon sólo firewall en el hostanfitrión y en máquinas virtuales el proxy y los servicios públicos (ftp,correo y web) tu servidor ponlo con 3 interfaces de red; una sin conexión para que crees una DMZ en el anfitrión y el virtual y la otra la conectas a tu switch de LAN ahi puede compartir la conexión para la máquina virtual de proxy Si tu máquina no es potente al menos ponle sólo firewall y proxy y consigue otro equipo para ftp,correo y web El 20 de abril de 2012 09:43, Jose Sabastizagal <[email protected]> escribió: Saludos, Tengo un servidor Centos 5.7 que tiene alojados servicios de ftp, correo, ldap y otros, esta configurado un firewall con Shorewall y proxy con Squid, desde la semana pasada tengo problemas con la conexión a internet, cada ciertas horas se pierde. El problema inició a mediados de la semana pasada, creí que era algún problema con algún demonio o servicio así que en 2 oportunidades reinicieel servidor y el problema aparentemente se solucionó, en los logs (messages, secure, access. etc) parece normal. Al correr IPTRAF veo que existen conexiones hacia internet a diferentes IP de una cantidad enorme de paquetes a gran velocidad que salen desde la red hacia internet, los puertos que utiliza para salir son altos de 30000 para arriba, con el comando ps -ax he visto que en esos momento se activa un proceso justo hacia la IP que muestra IPTRAF con 2 variantes, en esos momentos ninguna maquina tiene salida a internet y la red se vuelve lenta, el proceso por ejemplo es el siguiente: 23182 ? Ss ./std 58.223.81.18 41862 ó 21142 ? Sa ./f4 58.223.81.18 41862 Si mato el proceso con kill -9 las conexiones a internet se restablecen sin problemas, las IP son distintas, varían y pertenecen a servidores en Corea y Nueva Zelanda. Además con IPTRAF veo que ya no tengo salida directa hacia internet sino que todas mis conexiones son hacia Servidores Proxy de Telefónica cachesis.tdp.net.pe con puertos altos. También hay un proceso que me llama la atención pues antes no había percatado que estuviera corriendo 8718 ? S 0:00 /usr/sbin/nm-system-settings --config /etc/NetworkManager/nm-system-settings.conf Dentro de /etc/NetworkManager/nm-system-settings.conf tiene : [main] plugins=ifcfg-rh Evidentemente el servidor esta comprometido, ¿existirá alguna manera de corregir el problema o la única solución es reinstalar nuevamente?, he ejecutado rkhunter y chrootkit y muestran todo OK, me falta probar con Snort. Agradeceré las sugerencias y orientaciones donde poder buscar, gracias por su tiempo _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php -- Clever Flores Perú Linux SAC Tel: 640-5800 Anexo 104 Blog: http://www.perulinux.pe/blog/clever _______________________________________________ Lista de correo Linux-plug Tem�tica: Discusi�n general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribi�ndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripci�n visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
