La respuesta es simple, no es problema de lenny ni de acceso por algun
servicio extraño.
Por lo que citas el problema esta en tu aplicacion dinamica ewscrita en php,
el problema noe s el php tampoco sino como estaria programado tu aplicativo
por mas sencillo que sea.
Sugiero ke elimines el binario, elimines todas las librerias de desarrollo
que este en ese servidor, elimines los compiladores y luego revises los
permisos en los directorios de tu web para que no se pueda escribir en el
filesistem.
Tambien revisa los permisos en el /tmp
En fin un buen punto es hacer un hardening de este servidor y perfilarlo
como webserver.
Finalmente un comentario. Instalar un sistema cualquiera que sea no
significa que este completamente seguro (a exepcion de algun sabor BSD),
sino que es solo el punto de partida para iniciar una personalizacion y
aseguramiento, este procedimiento para los que no lo conozcan se denomina
Hardening.
Sobre como obtener los datos, si el problema tiene mas de 1 mes, entonces no
creo que encuntres facilmente registros de cuando y donde, sien embargo
busca ese "s" y fiajete su fecha de creacion y luego busca en los registros
del apache de esa fecha, seguro encontraras datos importantes ya ke este
tipó de accesos se ven en de manera diferente al normal log de apache.
si necesitas mas datos avisa.
Ska
El 11 de marzo de 2009 16:09, kazabe <kazabe (at) gmail (dot) com [email concealed]> escribió:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con un
> servidor web. El servidor solo tiene los paquetes oficiales de lenny,
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> simplemente publica un sitio web en el cual se confirman los pedidos que
> realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s
> 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
> no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto
> el servidor web, y el internet vuelve a funcionar. Mato ese proceso,
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
> que logicamente el problema es que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso
> ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa direccion
> IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
>
> Albert Einstein
>
La respuesta es simple, no es problema de lenny ni de acceso por algun servicio extraño.<br><br>Por lo que citas el problema esta en tu aplicacion dinamica ewscrita en php, el problema noe s el php tampoco sino como estaria programado tu aplicativo por mas sencillo que sea. <br>
<br>Sugiero ke elimines el binario, elimines todas las librerias de desarrollo que este en ese servidor, elimines los compiladores y luego revises los permisos en los directorios de tu web para que no se pueda escribir en el filesistem.<br>
Tambien revisa los permisos en el /tmp<br><br>En fin un buen punto es hacer un hardening de este servidor y perfilarlo como webserver.<br><br>Finalmente un comentario. Instalar un sistema cualquiera que sea no significa que este completamente seguro (a exepcion de algun sabor BSD), sino que es solo el punto de partida para iniciar una personalizacion y aseguramiento, este procedimiento para los que no lo conozcan se denomina Hardening.<br>
<br>Sobre como obtener los datos, si el problema tiene mas de 1 mes, entonces no creo que encuntres facilmente registros de cuando y donde, sien embargo busca ese "s" y fiajete su fecha de creacion y luego busca en los registros del apache de esa fecha, seguro encontraras datos importantes ya ke este tipó de accesos se ven en de manera diferente al normal log de apache.<br>
<br>si necesitas mas datos avisa.<br><br>Ska<br><br><div class="gmail_quote">El 11 de marzo de 2009 16:09, kazabe <span dir="ltr"><<a href="mailto:kazabe (at) gmail (dot) com [email concealed]">kazabe (at) gmail (dot) com [email concealed]</a>></span> escribió:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div>Holas.<br> <br>Ultimamente he notado un problema que me tiene bastante preocupado con un servidor web. El servidor solo tiene los paquetes oficiales de lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y simplemente publica un sitio web en el cual se confirman los pedidos que realizan a la empresa, usando php y almacenando en mysql local.<br>
<br>Ultimamente he notado procesos como el siguiente:<br> <br>www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s 86.23.114.12 80<br> <br>Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto el servidor web, y el internet vuelve a funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi que logicamente el problema es que ese proceso me esta colgando el trafico.<br>
<br>Si tengo todo el servidor actualizado, lo monte directamente con el CD de Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo instalado lo estrictamente necesario, como pueden haberme metido ese proceso ./s ???????????<br>
<br>como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero hasta donde tengo entendido, eso con linux todavia no rula mucho. </div>
<div> </div>
<div>He tratado de buscar registros relacionados o que contengan esa direccion IP, pero no he encontrado nada.<br> <br>saludos y gracias por su ayuda.<br clear="all"><br>-- <br>«Existen dos cosas infinitas: <br>el universo y la estupidez humana... y no estoy muy seguro de la primera» : <br>
servicio extraño.
Por lo que citas el problema esta en tu aplicacion dinamica ewscrita en php,
el problema noe s el php tampoco sino como estaria programado tu aplicativo
por mas sencillo que sea.
Sugiero ke elimines el binario, elimines todas las librerias de desarrollo
que este en ese servidor, elimines los compiladores y luego revises los
permisos en los directorios de tu web para que no se pueda escribir en el
filesistem.
Tambien revisa los permisos en el /tmp
En fin un buen punto es hacer un hardening de este servidor y perfilarlo
como webserver.
Finalmente un comentario. Instalar un sistema cualquiera que sea no
significa que este completamente seguro (a exepcion de algun sabor BSD),
sino que es solo el punto de partida para iniciar una personalizacion y
aseguramiento, este procedimiento para los que no lo conozcan se denomina
Hardening.
Sobre como obtener los datos, si el problema tiene mas de 1 mes, entonces no
creo que encuntres facilmente registros de cuando y donde, sien embargo
busca ese "s" y fiajete su fecha de creacion y luego busca en los registros
del apache de esa fecha, seguro encontraras datos importantes ya ke este
tipó de accesos se ven en de manera diferente al normal log de apache.
si necesitas mas datos avisa.
Ska
El 11 de marzo de 2009 16:09, kazabe <kazabe (at) gmail (dot) com [email concealed]> escribió:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con un
> servidor web. El servidor solo tiene los paquetes oficiales de lenny,
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> simplemente publica un sitio web en el cual se confirman los pedidos que
> realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s
> 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
> no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto
> el servidor web, y el internet vuelve a funcionar. Mato ese proceso,
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
> que logicamente el problema es que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso
> ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa direccion
> IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
>
> Albert Einstein
>
La respuesta es simple, no es problema de lenny ni de acceso por algun servicio extraño.<br><br>Por lo que citas el problema esta en tu aplicacion dinamica ewscrita en php, el problema noe s el php tampoco sino como estaria programado tu aplicativo por mas sencillo que sea. <br>
<br>Sugiero ke elimines el binario, elimines todas las librerias de desarrollo que este en ese servidor, elimines los compiladores y luego revises los permisos en los directorios de tu web para que no se pueda escribir en el filesistem.<br>
Tambien revisa los permisos en el /tmp<br><br>En fin un buen punto es hacer un hardening de este servidor y perfilarlo como webserver.<br><br>Finalmente un comentario. Instalar un sistema cualquiera que sea no significa que este completamente seguro (a exepcion de algun sabor BSD), sino que es solo el punto de partida para iniciar una personalizacion y aseguramiento, este procedimiento para los que no lo conozcan se denomina Hardening.<br>
<br>Sobre como obtener los datos, si el problema tiene mas de 1 mes, entonces no creo que encuntres facilmente registros de cuando y donde, sien embargo busca ese "s" y fiajete su fecha de creacion y luego busca en los registros del apache de esa fecha, seguro encontraras datos importantes ya ke este tipó de accesos se ven en de manera diferente al normal log de apache.<br>
<br>si necesitas mas datos avisa.<br><br>Ska<br><br><div class="gmail_quote">El 11 de marzo de 2009 16:09, kazabe <span dir="ltr"><<a href="mailto:kazabe (at) gmail (dot) com [email concealed]">kazabe (at) gmail (dot) com [email concealed]</a>></span> escribió:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div>Holas.<br> <br>Ultimamente he notado un problema que me tiene bastante preocupado con un servidor web. El servidor solo tiene los paquetes oficiales de lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y simplemente publica un sitio web en el cual se confirman los pedidos que realizan a la empresa, usando php y almacenando en mysql local.<br>
<br>Ultimamente he notado procesos como el siguiente:<br> <br>www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s 86.23.114.12 80<br> <br>Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto el servidor web, y el internet vuelve a funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi que logicamente el problema es que ese proceso me esta colgando el trafico.<br>
<br>Si tengo todo el servidor actualizado, lo monte directamente con el CD de Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo instalado lo estrictamente necesario, como pueden haberme metido ese proceso ./s ???????????<br>
<br>como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero hasta donde tengo entendido, eso con linux todavia no rula mucho. </div>
<div> </div>
<div>He tratado de buscar registros relacionados o que contengan esa direccion IP, pero no he encontrado nada.<br> <br>saludos y gracias por su ayuda.<br clear="all"><br>-- <br>«Existen dos cosas infinitas: <br>el universo y la estupidez humana... y no estoy muy seguro de la primera» : <br>
Albert Einstein<br></div>
</blockquote></div><br>
[ reply ]