Re: servidor web comprometido
El mié, 11-03-2009 a las 15:37 -0500, kazabe escribió:
> Holas.
>
> Ultimamente he notado un problema que me tiene bastante preocupado con
> un servidor web. El servidor solo tiene los paquetes oficiales de
> lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun
> tipo) y simplemente publica un sitio web en el cual se confirman los
> pedidos que realizan a la empresa, usando php y almacenando en mysql
> local.
>
> Ultimamente he notado procesos como el siguiente:
>
> www-data 20580 00 00 815 355 ? S 07:16
> 6:01 ./s 86.23.114.12 80
>
> Cuando ese proceso esta activo, me llaman de gerencia porque el
> internet ya no funciona, y efectivamente no puedo hacer ni siquiera un
> ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12
> tiene un trafico exageradamente alto hacia el puerto 80 de la IP
> 86.23.114.12. Desconecto el servidor web, y el internet vuelve a
> funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo
> sigue funcionando sin problemas, asi que logicamente el problema es
> que ese proceso me esta colgando el trafico.
>
> Si tengo todo el servidor actualizado, lo monte directamente con el CD
> de Lenny como distro oficial, no tengo nada de accesos remotos, y solo
> tengo instalado lo estrictamente necesario, como pueden haberme metido
> ese proceso ./s ???????????
>
> como puedo buscarlo y eliminar que lo causa? es que parece un virus,
> pero hasta donde tengo entendido, eso con linux todavia no rula mucho.
>
> saludos y gracias por su ayuda.
Yo estoy detras de un ruteador barato D-Link y me ocurre lo de quitar la
energia del ruteador, a veces con 1 solo ordenador conectado; supongo
que no es tu caso; pero me llama la atencion por la similitud. Por lo
del proceso, no tengo idea.
--
"Consultores Agropecuarios"
Reply to: