Re: Ataque en servidor debian 7

To: debian-user-spanish@lists.debian.org
Subject: Re: Ataque en servidor debian 7
From: Camaleón <noelamac@gmail.com>
Date: Wed, 20 May 2015 17:24:15 +0000 (UTC)
Message-id: <[🔎] pan.2015.05.20.17.24.15@gmail.com>
Reply-to: "A MI NO, ENVIA A LA LISTA" <noelamac+A_MI_NO_ENVIA_A_LA_LISTA@gmail.com>
References: <[🔎] BAY172-W369D4AA2CC1165765C9BED9FC20@phx.gbl>

El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió:

> Buenas tardes.

(ese html...)

> Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un
> servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el
> ancho de banda de subida.
> Ejecute un comando "netstat -antop" para ver la conexiones activas y hay
> muchas como esta tcp        0      1 m.i.i.p:34728     
> 115.231.218.106:1987    SYN_SENT    24089/ls -la     on (0.82/1/0)tcp   
>     0      1 m.i.i.p:34796      115.231.218.106:1987    SYN_SENT   
> 17636/grep "A"   on (1.86/1/0)tcp        0      1 m.i.i.p:34807     
> 115.231.218.106:1987    SYN_SENT    18536/pwd        on (2.52/2/0)tcp   
>     0      1 m.i.i.p:34873      115.231.218.106:1987    SYN_SENT   
> 18955/gnome-termina on (2.41/2/0)
> Intentando bloquear mate los procesos con "kill ". Pero enseguida
> aparecen mas. Después bloquear la IP.
> iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s
> 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien
> me podria guiar en que podria hacer?

Pues yo haría dos cosas:

1/ Ejecutar un anti-rootkit
2/ Fail2ban

Saludos,

-- 
Camaleón

Reply to:

Follow-Ups:
- RE: Ataque en servidor debian 7
  - From: Memo Robles <kinr_cs89@hotmail.com>

References:
- Ataque en servidor debian 7
  - From: Memo Robles <kinr_cs89@hotmail.com>

Prev by Date: Ataque en servidor debian 7
Next by Date: Re: Debian 8.0 tampoco me arranca a mi
Previous by thread: Ataque en servidor debian 7
Next by thread: RE: Ataque en servidor debian 7
Index(es):
- Date
- Thread