RE: Ataque en servidor debian 7
Como quito el html? Tengo fail2ban pero no se de donde tomar el log para bloquear las peticiones de esas IPs. Estoy probando chkrootkit, jaja ya me salio: Checking `lkm'... You have 8 process hidden for readdir commandYou have 9 process hidden for ps commandchkproc: Warning: Possible LKM Trojan installed Ahora a investigar como quitarlo. Gracias camaleon To: debian-user-spanish@lists.debian.org From: noela...@gmail.com Subject: Re: Ataque en servidor debian 7 Date: Wed, 20 May 2015 17:24:15 + El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: Buenas tardes. (ese html...) Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el ancho de banda de subida. Ejecute un comando netstat -antop para ver la conexiones activas y hay muchas como esta tcp0 1 m.i.i.p:34728 115.231.218.106:1987SYN_SENT24089/ls -la on (0.82/1/0)tcp 0 1 m.i.i.p:34796 115.231.218.106:1987SYN_SENT 17636/grep A on (1.86/1/0)tcp0 1 m.i.i.p:34807 115.231.218.106:1987SYN_SENT18536/pwdon (2.52/2/0)tcp 0 1 m.i.i.p:34873 115.231.218.106:1987SYN_SENT 18955/gnome-termina on (2.41/2/0) Intentando bloquear mate los procesos con kill . Pero enseguida aparecen mas. Después bloquear la IP. iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien me podria guiar en que podria hacer? Pues yo haría dos cosas: 1/ Ejecutar un anti-rootkit 2/ Fail2ban Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.05.20.17.24...@gmail.com
Re: Ataque en servidor debian 7
El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: Buenas tardes. (ese html...) Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el ancho de banda de subida. Ejecute un comando netstat -antop para ver la conexiones activas y hay muchas como esta tcp0 1 m.i.i.p:34728 115.231.218.106:1987SYN_SENT24089/ls -la on (0.82/1/0)tcp 0 1 m.i.i.p:34796 115.231.218.106:1987SYN_SENT 17636/grep A on (1.86/1/0)tcp0 1 m.i.i.p:34807 115.231.218.106:1987SYN_SENT18536/pwdon (2.52/2/0)tcp 0 1 m.i.i.p:34873 115.231.218.106:1987SYN_SENT 18955/gnome-termina on (2.41/2/0) Intentando bloquear mate los procesos con kill . Pero enseguida aparecen mas. Después bloquear la IP. iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien me podria guiar en que podria hacer? Pues yo haría dos cosas: 1/ Ejecutar un anti-rootkit 2/ Fail2ban Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.05.20.17.24...@gmail.com
Re: Ataque en servidor debian 7
El Wed, 20 May 2015 10:35:59 -0700, Memo Robles escribió: To: debian-user-spanish@lists.debian.org From: noela...@gmail.com Subject: Re: Ataque en servidor debian 7 Date: Wed, 20 May 2015 17:24:15 + El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: Buenas tardes. (ese html...) Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el ancho de banda de subida. (...) Pues yo haría dos cosas: 1/ Ejecutar un anti-rootkit 2/ Fail2ban Como quito el html? https://wiki.debian.org/es/DebianMailingLists#C.2BAPM-mo_enviar_mensajes_a_la_lista_usando_un_formato_de_texto_plano Tengo fail2ban pero no se de donde tomar el log para bloquear las peticiones de esas IPs. Son peticiones de salida, no de entrada, o eso me pareció. Es decir, como si tu equipo estuviera enviando datos a un centro de control ubicado en China (por la IP). sm01@stt008:~$ whois 115.231.218.106 % [whois.apnic.net] % Whois data copyright termshttp://www.apnic.net/db/dbcopyright.html % Information related to '115.231.216.0 - 115.231.223.255' inetnum:115.231.216.0 - 115.231.223.255 netname:CHINANET-ZJ-SX country:CN descr: CHINANET-ZJ Shaoxing node network descr: Zhejiang Telecom admin-c:CZ4-AP tech-c: CS64-AP mnt-irt:IRT-CHINANET-ZJ status: ALLOCATED NON-PORTABLE changed:zjnoc_i...@163.com 20141014 mnt-by: MAINT-CHINANET-ZJ mnt-lower: MAINT-CN-CHINANET-ZJ-SX source: APNIC Estoy probando chkrootkit, jaja ya me salio: Checking `lkm'... You have 8 process hidden for readdir commandYou have 9 process hidden for ps commandchkproc: Warning: Possible LKM Trojan installed Ahora a investigar como quitarlo. Gracias camaleon Es que tenía toda la pinta de algún bicho que está instalado y ejecutando comandos del sistema pero analiza bien los procesos que te apunte el escáner para descartar un falso positivo. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.05.20.17.47...@gmail.com
