Holas.
Ultimamente he notado un problema que me tiene bastante preocupado con
un servidor web. El servidor solo tiene los paquetes oficiales de
lenny, solamente ejecuta procesos web (no hay acceso remoto de ningun
tipo) y simplemente publica un sitio web en el cual se confirman los
pedidos que realizan a la empresa, usando php y almacenando en mysql
local.
Ultimamente he notado procesos como el siguiente:
www-data 20580 00 00 815 355 ? S 07:16
6:01 ./s 86.23.114.12 80
Cuando ese proceso esta activo, me llaman de gerencia porque el
internet ya no funciona, y efectivamente no puedo hacer ni siquiera un
ping. Verifico el enrutador, y veo que mi servidor web 172.20.7.12
tiene un trafico exageradamente alto hacia el puerto 80 de la IP
86.23.114.12. Desconecto el servidor web, y el internet vuelve a
funcionar. Mato ese proceso, conecto nuevamente el servidor, y todo
sigue funcionando sin problemas, asi que logicamente el problema es
que ese proceso me esta colgando el trafico.
Si tengo todo el servidor actualizado, lo monte directamente con el CD
de Lenny como distro oficial, no tengo nada de accesos remotos, y solo
tengo instalado lo estrictamente necesario, como pueden haberme metido
ese proceso ./s ???????????
como puedo buscarlo y eliminar que lo causa? es que parece un virus,
pero hasta donde tengo entendido, eso con linux todavia no rula mucho.
saludos y gracias por su ayuda.