Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede que hoy revise el cisco y me encontre que las luces de TxRX estaban como locas , no usual como de costumbre. Por lo que fui a mi servidor (Debian etch, squid transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp, apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0 para la Wan con ip fija de entel, eth1para la Lan) , y lo revise con : # iptraf mirando los paquetes en eth0 , apage TODAS las maquinas y me puse a analizar , para mi sorpresa me aparece en paquetes capturados (parte inferior del iptraf) UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src HWaddr .... UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src HWaddr .... ..etc Amigos estoy CASI a abrazos cruzados, intente bloquear la ip con ip tables /sbin/iptables -A INPUT -s 64.18.140.180 -j DROP y nada... luego instale el fail2ban y nada...obviamente revisándolo. me puse a actualizar los paquetes de debian, eran muy pocos. apt-get update && upgrade y nada, siguen los paquetes mandándose y recibiendo. baje los servicios de uno por uno.. solo quede con netstat -tlp mi_dominio:/var/log# netstat -tulp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 *:756 *:* LISTEN 2270/rpc.statd tcp6 0 0 *:ssh *:* LISTEN 23685/sshd udp 0 0 *:kerberos4 *:* 2270/rpc.statd udp 0 0 *:753 *:* 2270/rpc.statd mi_dominio:/var/log# el ssh también lo baje, lo use para capturar el netstat. Alguna Idea o necesitan algunos detalles mas?? tengo cuentas 10 cuentas de correo de las cuales 6 son de ventas y son muy importantes para nosotros, por lo cual no puedo bajar ningún servio más. Atte. Cesar. From [EMAIL PROTECTED] Thu Feb 7 11:49:33 2008 From: [EMAIL PROTECTED] (Miguel =?ISO-8859-1?Q?Pe=F1a?= Gomez) Date: Thu Feb 7 11:52:55 2008 Subject: iptraf In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]>
como anda tu conf de dns ? tu dns server no tara un poco abierto a cualquier consulta desde cualquier parte ( Open DNS servers ) ?
