Re: Ataque en servidor debian 7
El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió:
> Buenas tardes.
(ese html...)
> Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un
> servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el
> ancho de banda de subida.
> Ejecute un comando "netstat -antop" para ver la conexiones activas y hay
> muchas como esta tcp 0 1 m.i.i.p:34728
> 115.231.218.106:1987 SYN_SENT 24089/ls -la on (0.82/1/0)tcp
> 0 1 m.i.i.p:34796 115.231.218.106:1987 SYN_SENT
> 17636/grep "A" on (1.86/1/0)tcp 0 1 m.i.i.p:34807
> 115.231.218.106:1987 SYN_SENT 18536/pwd on (2.52/2/0)tcp
> 0 1 m.i.i.p:34873 115.231.218.106:1987 SYN_SENT
> 18955/gnome-termina on (2.41/2/0)
> Intentando bloquear mate los procesos con "kill ". Pero enseguida
> aparecen mas. Después bloquear la IP.
> iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s
> 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien
> me podria guiar en que podria hacer?
Pues yo haría dos cosas:
1/ Ejecutar un anti-rootkit
2/ Fail2ban
Saludos,
--
Camaleón
Reply to: