2009/3/11 kazabe <kazabe (at) gmail (dot) com [email concealed]>:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con un
> servidor web.  El servidor solo tiene los paquetes oficiales de lenny,
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> simplemente publica un sitio web en el cual se confirman los pedidos que
> realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data  20580  00  00  815   355  ?  S   07:16   6:01   ./s
> 86.23.114.12Â 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
> no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12.  Desconecto
> el servidor web, y el internet vuelve a funcionar.  Mato ese proceso,
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
> que logicamente el problema es que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso
> ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa direccion
> IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>
Hola Kazabe: vamos por parte... si definimos a un virus como una
aplicación que se instala y se ejecuta sin consentimiento del
usuario... en linux si hay mucho de esos !! lo que pasa es que los
puritanos separan mucho lo que son virus a los keylogger, exploid y
los otros malwares.
En tu caso, por mas que tengas bien configurado tu servidor, no sirve
de nada si la aplicación PHP que estas corriendo no esta bien
programa. Y la muestra esta en que el proceso corre con el usuario del
apache y no con el root (te hackearon la aplicación web, pero no el
servidor entero).
Vamos a lo que te importa. Medida de contención y medida de corrección.
Contención:
1) para empezar podrÃas aplicar una regla de IPTABLES en tu servidor
web para que no se puedan mandar trafico al IP que mencionas, con eso
no te vas a quedar sin conectividad. (man IPTABLES)
2) con el comando "lsoft" puedes ver que archivos tiene abierto un
proceso, con ello puede ver donde esta ese script que se llama "./s"
(man lsoft)
3) puedes revisar en los log de tu servidor apache en busca de
peticiones que no sean comunes o algo extrañas, y bloquear esas
peticiones o los IP que hacen esas peticiones.
Corrección:
1) Analizar bien la aplicacion web que estas usando. Si es una
aplicacion bajada de la web, actualizarla. Si es una aplicación
propia... echarle la culpa al programador :)
2) Tener desactivado el register_global y desactivar los include() con
url en el PHP
3) Instalar el modulo de apache mod_secure que ayuda a filtrar los
ataques a las aplicaciones web
4) definir reglas de iptables para que el servidor apache solo pueda
mandar trafico del tipo TCP y a puertos altos (del 1024 para arriba).
Es muy probable que esa aplicación que te instalaron en tu servidor
este haciendo un ataque de denegación de servicio por UDP.
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con un
> servidor web.  El servidor solo tiene los paquetes oficiales de lenny,
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> simplemente publica un sitio web en el cual se confirman los pedidos que
> realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data  20580  00  00  815   355  ?  S   07:16   6:01   ./s
> 86.23.114.12Â 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
> no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12.  Desconecto
> el servidor web, y el internet vuelve a funcionar.  Mato ese proceso,
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
> que logicamente el problema es que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso
> ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> He tratado de buscar registros relacionados o que contengan esa direccion
> IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>
Hola Kazabe: vamos por parte... si definimos a un virus como una
aplicación que se instala y se ejecuta sin consentimiento del
usuario... en linux si hay mucho de esos !! lo que pasa es que los
puritanos separan mucho lo que son virus a los keylogger, exploid y
los otros malwares.
En tu caso, por mas que tengas bien configurado tu servidor, no sirve
de nada si la aplicación PHP que estas corriendo no esta bien
programa. Y la muestra esta en que el proceso corre con el usuario del
apache y no con el root (te hackearon la aplicación web, pero no el
servidor entero).
Vamos a lo que te importa. Medida de contención y medida de corrección.
Contención:
1) para empezar podrÃas aplicar una regla de IPTABLES en tu servidor
web para que no se puedan mandar trafico al IP que mencionas, con eso
no te vas a quedar sin conectividad. (man IPTABLES)
2) con el comando "lsoft" puedes ver que archivos tiene abierto un
proceso, con ello puede ver donde esta ese script que se llama "./s"
(man lsoft)
3) puedes revisar en los log de tu servidor apache en busca de
peticiones que no sean comunes o algo extrañas, y bloquear esas
peticiones o los IP que hacen esas peticiones.
Corrección:
1) Analizar bien la aplicacion web que estas usando. Si es una
aplicacion bajada de la web, actualizarla. Si es una aplicación
propia... echarle la culpa al programador :)
2) Tener desactivado el register_global y desactivar los include() con
url en el PHP
3) Instalar el modulo de apache mod_secure que ayuda a filtrar los
ataques a las aplicaciones web
4) definir reglas de iptables para que el servidor apache solo pueda
mandar trafico del tipo TCP y a puertos altos (del 1024 para arriba).
Es muy probable que esa aplicación que te instalaron en tu servidor
este haciendo un ataque de denegación de servicio por UDP.
[ reply ]