Re: Ataque en servidor debian 7
El Wed, 20 May 2015 10:35:59 -0700, Memo Robles escribió: >> To: debian-user-spanish@lists.debian.org From: noela...@gmail.com >> Subject: Re: Ataque en servidor debian 7 Date: Wed, 20 May 2015 >> 17:24:15 + >> >> El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: >> >> > Buenas tardes. >> >> (ese html...) >> >> > Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un >> > servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo >> > el ancho de banda de subida. (...) >> Pues yo haría dos cosas: >> >> 1/ Ejecutar un anti-rootkit 2/ Fail2ban > Como quito el html? https://wiki.debian.org/es/DebianMailingLists#C.2BAPM-mo_enviar_mensajes_a_la_lista_usando_un_formato_de_texto_plano > Tengo fail2ban pero no se de donde tomar el log para bloquear las > peticiones de esas IPs. Son peticiones de salida, no de entrada, o eso me pareció. Es decir, como si tu equipo estuviera enviando datos a un centro de control ubicado en China (por la IP). sm01@stt008:~$ whois 115.231.218.106 % [whois.apnic.net] % Whois data copyright termshttp://www.apnic.net/db/dbcopyright.html % Information related to '115.231.216.0 - 115.231.223.255' inetnum:115.231.216.0 - 115.231.223.255 netname:CHINANET-ZJ-SX country:CN descr: CHINANET-ZJ Shaoxing node network descr: Zhejiang Telecom admin-c:CZ4-AP tech-c: CS64-AP mnt-irt:IRT-CHINANET-ZJ status: ALLOCATED NON-PORTABLE changed:zjnoc_i...@163.com 20141014 mnt-by: MAINT-CHINANET-ZJ mnt-lower: MAINT-CN-CHINANET-ZJ-SX source: APNIC > Estoy probando chkrootkit, jaja ya me salio: > Checking `lkm'... You have > 8 process hidden for readdir commandYou have 9 process hidden for ps > commandchkproc: Warning: Possible LKM Trojan installed Ahora a > investigar como quitarlo. > Gracias camaleon Es que tenía toda la pinta de algún bicho que está instalado y ejecutando comandos del sistema pero analiza bien los procesos que te apunte el escáner para descartar un falso positivo. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.05.20.17.47...@gmail.com
RE: Ataque en servidor debian 7
Como quito el html? Tengo fail2ban pero no se de donde tomar el log para bloquear las peticiones de esas IPs. Estoy probando chkrootkit, jaja ya me salio: Checking `lkm'... You have 8 process hidden for readdir commandYou have 9 process hidden for ps commandchkproc: Warning: Possible LKM Trojan installed Ahora a investigar como quitarlo. Gracias camaleon > To: debian-user-spanish@lists.debian.org > From: noela...@gmail.com > Subject: Re: Ataque en servidor debian 7 > Date: Wed, 20 May 2015 17:24:15 + > > El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: > > > Buenas tardes. > > (ese html...) > > > Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un > > servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el > > ancho de banda de subida. > > Ejecute un comando "netstat -antop" para ver la conexiones activas y hay > > muchas como esta tcp0 1 m.i.i.p:34728 > > 115.231.218.106:1987SYN_SENT24089/ls -la on (0.82/1/0)tcp > > 0 1 m.i.i.p:34796 115.231.218.106:1987SYN_SENT > > 17636/grep "A" on (1.86/1/0)tcp0 1 m.i.i.p:34807 > > 115.231.218.106:1987SYN_SENT18536/pwdon (2.52/2/0)tcp > > 0 1 m.i.i.p:34873 115.231.218.106:1987SYN_SENT > > 18955/gnome-termina on (2.41/2/0) > > Intentando bloquear mate los procesos con "kill ". Pero enseguida > > aparecen mas. Después bloquear la IP. > > iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s > > 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien > > me podria guiar en que podria hacer? > > Pues yo haría dos cosas: > > 1/ Ejecutar un anti-rootkit > 2/ Fail2ban > > Saludos, > > -- > Camaleón > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: https://lists.debian.org/pan.2015.05.20.17.24...@gmail.com >
Ataque en servidor debian 7
Buenas tardes. Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el ancho de banda de subida. Ejecute un comando "netstat -antop" para ver la conexiones activas y hay muchas como esta tcp0 1 m.i.i.p:34728 115.231.218.106:1987SYN_SENT 24089/ls -la on (0.82/1/0)tcp0 1 m.i.i.p:34796 115.231.218.106:1987SYN_SENT17636/grep "A" on (1.86/1/0)tcp0 1 m.i.i.p:34807 115.231.218.106:1987SYN_SENT18536/pwd on (2.52/2/0)tcp0 1 m.i.i.p:34873 115.231.218.106:1987 SYN_SENT18955/gnome-termina on (2.41/2/0) Intentando bloquear mate los procesos con "kill ". Pero enseguida aparecen mas. Después bloquear la IP. iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien me podria guiar en que podria hacer? Gracias y buena vibra.
Re: Ataque en servidor debian 7
El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: > Buenas tardes. (ese html...) > Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un > servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el > ancho de banda de subida. > Ejecute un comando "netstat -antop" para ver la conexiones activas y hay > muchas como esta tcp0 1 m.i.i.p:34728 > 115.231.218.106:1987SYN_SENT24089/ls -la on (0.82/1/0)tcp > 0 1 m.i.i.p:34796 115.231.218.106:1987SYN_SENT > 17636/grep "A" on (1.86/1/0)tcp0 1 m.i.i.p:34807 > 115.231.218.106:1987SYN_SENT18536/pwdon (2.52/2/0)tcp > 0 1 m.i.i.p:34873 115.231.218.106:1987SYN_SENT > 18955/gnome-termina on (2.41/2/0) > Intentando bloquear mate los procesos con "kill ". Pero enseguida > aparecen mas. Después bloquear la IP. > iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s > 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien > me podria guiar en que podria hacer? Pues yo haría dos cosas: 1/ Ejecutar un anti-rootkit 2/ Fail2ban Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.05.20.17.24...@gmail.com