2009/3/11 kazabe <kazabe (at) gmail (dot) com [email concealed]>:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con un
> servidor web. El servidor solo tiene los paquetes oficiales de lenny,
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> simplemente publica un sitio web en el cual se confirman los pedidos que
> realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s
> 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
> no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto
> el servidor web, y el internet vuelve a funcionar. Mato ese proceso,
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
> que logicamente el problema es que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso
> ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> hasta donde tengo entendido, eso con linux todavia no rula mucho.
La maquina esta comprometida, lo mejor es hacer una copia de seguridad
para posterior analisis y reinstalar el sistema desde 0.
Un excelente lugar con consejos para estas ocasiones es Practical UNIX
and Internet security chapter 22 Discovering a Break-in
> He tratado de buscar registros relacionados o que contengan esa direccion
> IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>
--
¿ Ya probaste linux ?
http://www.obtengalinux.org/
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con un
> servidor web. El servidor solo tiene los paquetes oficiales de lenny,
> solamente ejecuta procesos web (no hay acceso remoto de ningun tipo) y
> simplemente publica un sitio web en el cual se confirman los pedidos que
> realizan a la empresa, usando php y almacenando en mysql local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16 6:01 ./s
> 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el internet ya
> no funciona, y efectivamente no puedo hacer ni siquiera un ping. Verifico
> el enrutador, y veo que mi servidor web 172.20.7.12 tiene un trafico
> exageradamente alto hacia el puerto 80 de la IP 86.23.114.12. Desconecto
> el servidor web, y el internet vuelve a funcionar. Mato ese proceso,
> conecto nuevamente el servidor, y todo sigue funcionando sin problemas, asi
> que logicamente el problema es que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD de
> Lenny como distro oficial, no tengo nada de accesos remotos, y solo tengo
> instalado lo estrictamente necesario, como pueden haberme metido ese proceso
> ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus, pero
> hasta donde tengo entendido, eso con linux todavia no rula mucho.
La maquina esta comprometida, lo mejor es hacer una copia de seguridad
para posterior analisis y reinstalar el sistema desde 0.
Un excelente lugar con consejos para estas ocasiones es Practical UNIX
and Internet security chapter 22 Discovering a Break-in
http://books.google.com/books?id=t0IExLP-MPMC&printsec=frontcover&hl=es#
PPA683,M1
> He tratado de buscar registros relacionados o que contengan esa direccion
> IP, pero no he encontrado nada.
>
> saludos y gracias por su ayuda.
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>
--
¿ Ya probaste linux ?
http://www.obtengalinux.org/
[ reply ]