Yo creo que debe revisar primaremente que proceso eesta correindo a esa hora , un cron o algo asi , si la maquina esta virtualizada o no ... suele pasar que si el host tiene problemas la vm tambien los tendra yo optaria por poner un cron cada una hora con ntp y volver a revisar si es un problema de hd o de algun proceso en particular
Saludos El 28 de julio de 2014, 17:04, Pablo Alberto Flores <pabfl...@uchile.cl> escribió: > last -20 revisa las ultimas conexiones al server. > > revisa tu firewall para verificar desde donde se pueden conectar. > Busca todos los archivos que tengan fechas de modificacion o creacion la > fecha del incidente incluye los archivos ocultos. > cambia las claves de acceso. > no permitar que el root se logue por consola, define solo un usuario que lo > pueda hacer y unelo al grupo wheel. > busca usuarios nuevos creados. > escanea con antirootkit. > > Ponte en modo paranoico :D y como dice Claudio, si tu no pusistela eth1 en > promiscuous alguien mas lo hizo. > y recuerda que un buen intruso siempre borra sus huellas. > > > Te recomiendo instalar ossec para problemas similares > > Suerte > > El 28 de julio de 2014, 16:35, Claudio Aracena Castex < > claudio.arac...@gmail.com> escribió: > > > Hola, > > > > primero que nada si tu no pusiste eth1 en modo promiscuo alguien mas lo > > hizo. Los mensajes de init respecto a rc y rcc?? son mas sospechosos aún. > > > > revisa contra tu gestor de paquetes si hay modificaciones en tus > binarios. > > > > cuéntanos como te va. > > > > > > Claudio Aracena C. > > "Amat victoria curam" > > > > > > > > El 28 de julio de 2014, 15:32, Luis Enrique Araneda<leacb...@gmail.com> > > escribió: > > > > > Estimados, > > > > > > A alguien le ha ocurrido esto? veo un salto de horario en los logs, y > > > aparte que estoy buscando algun log informandome de un problema que > > ocurrio > > > cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto! > > > > > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > > > [172.20.1.2]:55233 > > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > > > [172.20.1.2]:55234 > > > Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from > UDP: > > > [172.20.1.2]:55234 > > > Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: > > > [172.20.1.131]:55234 > > > Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode > > > Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode > > > Jul 26 06:12:46 Principal init: Id "rc" respawning too fast: disabled > > for 5 > > > minutes > > > Jul 26 06:13:46 Principal init: Id "rcc" respawning too fast: disabled > > for > > > 5 minutes > > > Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode > > > Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode > > > Jul 26 06:17:50 Principal init: Id "rc" respawning too fast: disabled > > for 5 > > > minutes > > > > > > Atento a sus amables comentarios. > > > > > > > > > > > > > > > -- > > > > > > *Luis Araneda Cortés* > > > > > >