Re: servidor web comprometido
El mié, 11-03-2009 a las 15:37 -0500, kazabe escribió: Holas. Ultimamente he notado un problema que me tiene bastante preocupado con un servidor web. El servidor solo tiene los paquetes oficiales de lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y simplemente publica un sitio web en el cual se confirman los pedidos que realizan a la empresa, usando php y almacenando en mysql local. Ultimamente he notado procesos como el siguiente: www-data 20580 00 00 815355 ? S07:16 6:01./s86.23.114.12 80 Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto el servidor web, y el internet vuelve a funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi que logicamente el problema es que ese proceso me esta colgando el trafico. Si tengo todo el servidor actualizado, lo monte directamente con el CD de Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo instalado lo estrictamente necesario, como pueden haberme metido ese proceso ./s ??? como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero hasta donde tengo entendido, eso con linux todavia no rula mucho. saludos y gracias por su ayuda. Yo estoy detras de un ruteador barato D-Link y me ocurre lo de quitar la energia del ruteador, a veces con 1 solo ordenador conectado; supongo que no es tu caso; pero me llama la atencion por la similitud. Por lo del proceso, no tengo idea. -- Consultores Agropecuarios -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: servidor web comprometido
consultores1 escribió: El mié, 11-03-2009 a las 15:37 -0500, kazabe escribió: Holas. Ultimamente he notado un problema que me tiene bastante preocupado con un servidor web. El servidor solo tiene los paquetes oficiales de lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y simplemente publica un sitio web en el cual se confirman los pedidos que realizan a la empresa, usando php y almacenando en mysql local. Ultimamente he notado procesos como el siguiente: www-data 20580 00 00 815355 ? S07:16 6:01./s86.23.114.12 80 Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto el servidor web, y el internet vuelve a funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi que logicamente el problema es que ese proceso me esta colgando el trafico. Si tengo todo el servidor actualizado, lo monte directamente con el CD de Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo instalado lo estrictamente necesario, como pueden haberme metido ese proceso ./s ??? como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero hasta donde tengo entendido, eso con linux todavia no rula mucho. saludos y gracias por su ayuda. Yo estoy detras de un ruteador barato D-Link y me ocurre lo de quitar la energia del ruteador, a veces con 1 solo ordenador conectado; supongo que no es tu caso; pero me llama la atencion por la similitud. Por lo del proceso, no tengo idea. Como sacas el listado de los procesos ? Has probado algo como ps -elf para ver qué fichero es realmente ? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
servidor web comprometido
Holas. Ultimamente he notado un problema que me tiene bastante preocupado con un servidor web. El servidor solo tiene los paquetes oficiales de lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y simplemente publica un sitio web en el cual se confirman los pedidos que realizan a la empresa, usando php y almacenando en mysql local. Ultimamente he notado procesos como el siguiente: www-data 20580 00 00 815355 ? S07:166:01./s 86.23.114.12 80 Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto el servidor web, y el internet vuelve a funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi que logicamente el problema es que ese proceso me esta colgando el trafico. Si tengo todo el servidor actualizado, lo monte directamente con el CD de Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo instalado lo estrictamente necesario, como pueden haberme metido ese proceso ./s ??? como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero hasta donde tengo entendido, eso con linux todavia no rula mucho. saludos y gracias por su ayuda. -- «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein
Re: servidor web comprometido
On Wed, Mar 11, 2009 at 03:37:30PM -0500, kazabe wrote: Holas. Ultimamente he notado un problema que me tiene bastante preocupado con un servidor web. El servidor solo tiene los paquetes oficiales de lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y simplemente publica un sitio web en el cual se confirman los pedidos que realizan a la empresa, usando php y almacenando en mysql local. Ultimamente he notado procesos como el siguiente: www-data 20580 00 00 815355 ? S07:166:01./s 86.23.114.12 80 Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto el servidor web, y el internet vuelve a funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi que logicamente el problema es que ese proceso me esta colgando el trafico. Si tengo todo el servidor actualizado, lo monte directamente con el CD de Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo instalado lo estrictamente necesario, como pueden haberme metido ese proceso ./s ??? Hay muchas posibilidades (mala elección de contraseñas en algunas cuentas, code injection, alguna otra cosa...). Lo mejor será quitar ese equipo de producción y ver de qué va el asunto con un analizador de rootkits o algo similar. como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero hasta donde tengo entendido, eso con linux todavia no rula mucho. No es un virus. Probablemente, alguien se aprovechó de la configuración por defecto de PHP (desconozco cuán laxa es en Lenny, no soy usuario de PHP) e instaló un script que sepa $DEIDAD lo que hace. Saludos y suerte (la vas a necesitar). -- Pablo Jiménez -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
