Forensics in Spanish
Encontrar rastro de incidencia de seguridad en servidor web Mar 11 2009 09:09PM
kazabe (kazabe gmail com)
Holas.

Ultimamente he notado un problema que me tiene bastante preocupado con un
servidor web. El servidor solo tiene los paquetes oficiales de lenny,
solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
simplemente publica un sitio web en el cual se confirman los pedidos que
realizan a la empresa, usando php y almacenando en mysql local.

Ultimamente he notado procesos como el siguiente:

www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s
86.23.114.12 80

Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico
el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto
el servidor web, y el internet vuelve a funcionar. Mato ese proceso,
conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
que logicamente el problema es que ese proceso me esta colgando el trafico.

Si tengo todo el servidor actualizado, lo monte directamente con el CD de
Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
instalado lo estrictamente necesario, como pueden haberme metido ese proceso
./s ???????????

como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
hasta donde tengo entendido, eso con linux todavia no rula mucho.

He tratado de buscar registros relacionados o que contengan esa direccion
IP, pero no he encontrado nada.

saludos y gracias por su ayuda.

--
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein
<div>Holas.<br> <br>Ultimamente he notado un problema que me tiene bastante preocupado con un servidor web.   El servidor solo tiene los paquetes oficiales de lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y simplemente publica un sitio web en el cual se confirman los pedidos que realizan a la empresa, usando php y almacenando en mysql local.<br>
 <br>Ultimamente he notado procesos como el siguiente:<br> <br>www-data   20580   00   00   815    355   ?   S    07:16    6:01    ./s    86.23.114.12  80<br> <br>Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya no funciona, y efectivamente no puedo hacer ni siquiera un ping.  Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12.   Desconecto el servidor web, y el internet vuelve a funcionar.   Mato ese proceso, conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi que logicamente el problema es que ese proceso me esta colgando el trafico.<br>
 <br>Si tengo todo el servidor actualizado, lo monte directamente con el CD de Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo instalado lo estrictamente necesario, como pueden haberme metido ese proceso ./s ???????????<br>
 <br>como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero hasta donde tengo entendido, eso con linux todavia no rula mucho.  </div>
<div> </div>
<div>He tratado de buscar registros relacionados o que contengan esa direccion IP, pero no he encontrado nada.<br> <br>saludos y gracias por su ayuda.<br clear="all"><br>-- <br>«Existen dos cosas infinitas: <br>el universo y la estupidez humana... y no estoy muy seguro de la primera» : <br>
Albert Einstein<br></div>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus