Saludos, Muchas gracias por sus sugerencias, aparentemente esta solucionado el problema, por lo menos por el momento. Intente instalar Xplico en Ubuntu 11.10 y me apareció un mensaje de error sobre un proceso hijo, chkrootkit y rkhunter no me mostraron la presencia de rootkits. Se trataba de una vulnerabilidad en el phpmyadmin que estaba siendo explotada.
Busque en los logs del apache y encontre unas lineas sobre w00tw00t ZmEu (copio al final parte del log), buscando en Google encontré algunos posts al respecto [1], hay otros más. Lo que hice, siguiendo lo que dicen los posts fue lo siguiente: - Depuré mis repositorios de Centos y solo dejé los oficiales y Epel (en disable) - Desinstale y en algunos casos borre apache, phpmyadmin, php, mysql, initscript - Actualice el sistema y reinstalé desde los repos oficiales - Instale fail2ban y mod_security con las configuraciones que sugerian Luego de eso el problema parece haberse solucionado, no he visto más lineas parecidas en los logs y el acceso a internet esta estable. Gracias nuevamente por las sugerencias [1] http://serverfault.com/questions/125607/dealing-with-http-w00tw00t-attacks http://foro.ignetwork.net/showthread.php?56335-Robot-Hack-w00tw00t-at-blackhats-romanian-anti-sec-%29 Parte del access.log de apache: 190.236.83.68 - - [10/Apr/2012:18:34:58 -0500] "GET / HTTP/1.1" 200 41 "-" "-" 190.236.83.68 - - [10/Apr/2012:18:34:58 -0500] "GET / HTTP/1.1" 200 41 "-" "-" 94.23.45.14 - - [10/Apr/2012:21:46:21 -0500] "HEAD / HTTP/1.0" 200 - "-" "-" 74.63.220.10 - - [10/Apr/2012:23:03:17 -0500] "GET /password.cgi?sysPassword=dns HTTP/1.1" 404 154 "-" "curl/7.15.5 (i686-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5" *221.226.9.86 - - [11/Apr/2012:03:39:13 -0500] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 154 "-" "ZmEu"* 221.226.9.86 - - [11/Apr/2012:03:39:13 -0500] "GET /scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:14 -0500] "GET /admin/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:15 -0500] "GET /admin/pma/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:15 -0500] "GET /admin/phpmyadmin/scripts/ setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:16 -0500] "GET /db/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:17 -0500] "GET /dbadmin/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:17 -0500] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:18 -0500] "GET /mysql/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:19 -0500] "GET /mysqladmin/scripts/setup.php HTTP/1.1" 403 308 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:19 -0500] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:20 -0500] "GET /phpadmin/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:21 -0500] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 308 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:22 -0500] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 403 308 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:22 -0500] "GET /phpmyadmin1/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:23 -0500] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:24 -0500] "GET /pma/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:24 -0500] "GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:25 -0500] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:26 -0500] "GET /web/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:26 -0500] "GET /php-my-admin/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:27 -0500] "GET /websql/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:28 -0500] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 403 308 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:28 -0500] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 308 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:29 -0500] "GET /phpMyAdmin-2/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:30 -0500] "GET /php-my-admin/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:31 -0500] "GET /phpMyAdmin-2.2.3/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu" 221.226.9.86 - - [11/Apr/2012:03:39:31 -0500] "GET /phpMyAdmin-2.2.6/scripts/setup.php HTTP/1.1" 404 154 "-" "ZmEu"
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
