Re: Ataque en servidor debian 7
El Wed, 20 May 2015 10:35:59 -0700, Memo Robles escribió:
>> To: debian-user-spanish@lists.debian.org From: noelamac@gmail.com
>> Subject: Re: Ataque en servidor debian 7 Date: Wed, 20 May 2015
>> 17:24:15 +0000
>>
>> El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió:
>>
>> > Buenas tardes.
>>
>> (ese html...)
>>
>> > Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un
>> > servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo
>> > el ancho de banda de subida.
(...)
>> Pues yo haría dos cosas:
>>
>> 1/ Ejecutar un anti-rootkit 2/ Fail2ban
> Como quito el html?
https://wiki.debian.org/es/DebianMailingLists#C.2BAPM-mo_enviar_mensajes_a_la_lista_usando_un_formato_de_texto_plano
> Tengo fail2ban pero no se de donde tomar el log para bloquear las
> peticiones de esas IPs.
Son peticiones de salida, no de entrada, o eso me pareció. Es decir, como
si tu equipo estuviera enviando datos a un centro de control ubicado en
China (por la IP).
sm01@stt008:~$ whois 115.231.218.106
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '115.231.216.0 - 115.231.223.255'
inetnum: 115.231.216.0 - 115.231.223.255
netname: CHINANET-ZJ-SX
country: CN
descr: CHINANET-ZJ Shaoxing node network
descr: Zhejiang Telecom
admin-c: CZ4-AP
tech-c: CS64-AP
mnt-irt: IRT-CHINANET-ZJ
status: ALLOCATED NON-PORTABLE
changed: zjnoc_ip_6@163.com 20141014
mnt-by: MAINT-CHINANET-ZJ
mnt-lower: MAINT-CN-CHINANET-ZJ-SX
source: APNIC
> Estoy probando chkrootkit, jaja ya me salio:
> Checking `lkm'... You have
> 8 process hidden for readdir commandYou have 9 process hidden for ps
> commandchkproc: Warning: Possible LKM Trojan installed Ahora a
> investigar como quitarlo.
> Gracias camaleon
Es que tenía toda la pinta de algún bicho que está instalado y ejecutando
comandos del sistema pero analiza bien los procesos que te apunte el
escáner para descartar un falso positivo.
Saludos,
--
Camaleón
Reply to: