Forums:
Buenas, amigos. les solicito encarecidamente su ayuda. Tengo un firewall en centos 5 con squid, el problema es que el servicio squid se paraliza aleatoriamente una 5 veces al dia, a veces es insoportable porque se paraliza cada 10 o 5 minutos. No es la conexion al internet porque se puede navegar desde el servidor, y el ping al dns del isp no se detiene. Simplemente se detiene el servicio squid. Le tengo que poner service squid restart y todo vuelve a la normalidad y los usuarios pueden navegar, pero en cualquier momento se vuelve a detener y hay que repetir el reinicio. Por favor indiquenme cual puede ser el problema. Hay dias en los que no molesta, pero otros vuelve a detenerse. Hace un mes se cayo el servidor y le restableci los directorios con squid -z. El firewall tiene en total 3 tarjetas de red, por una recibe y por las otras dos reparte a dos bloques de usuarios. De antemano, muchas gracias por ayudarme.
Que tal amigo emduval? A mi
Que tal amigo emduval?
A mi me huele fuertemente a un DoS. No descartes la posibilidad de que puedas estar bajo ataque. A la mayoría de gente que usamos linux nos pasa que nos confiamos demasiado de sus bondades en cuanto a seguridades.
- Verifica que tengas las actualizaciones al día de tu kernel, firewall y squid
- Verifica que no tengas ningún proceso por ahí que se ejecute recurrentemente en el cron
- Verifica los archivos log dentro de /var/log empezando por /var/log/messages
- Verifica que algún PC cliente no te esté saturando tu server (yo usaria iptraf)
- Trata de relacionar los problemas que has tenido con Fechas/Horas para encontrar alguna pista
Aunque no estés bajo ataque, revisando los logs puedes darnos mas pistas para saber que le ocurre a tu PC.
Suerte
NEO
- - - - - -
www.bodegadelmp3.com
Gracias
Muchas gracias por responder tan pronto NEO, me puse a revisar los logs y efectivamente paso algo extraño, el archivo de texto que guardaba las direcciones ip libres de un ACL que defini como IPLIBRES estaba vacio. Tambie encontre que alguien o algo habia cambiado la configuracion de squid por otro archivo mas antiguo. El problema es que la clave de acceso solo la tengo yo. ?Es posible que alguien, por ejemplo, la persona que configuro el servidor y que ya no trabaja en la institucion, pueda entrar al servidor y hacer esto?. ?que tendria que hacer para evitarlo?, te lo pregunto porque la verdad no se mucho de seguridades anti hackers en linux y yo no configure este servidor sino que ya estaba configurado, y esta persona tengo entendido que no salio en buenos terminos.
NUevamente muchas gracias
Si me imaginaba algo así. Yo
Si me imaginaba algo así.
Yo te recomendaría que revises los archivos log de todos los servicios que tengas levantado, a lo mejor se colaron por otro lado.
Por otra parte te recomiendo que cambies ahora mismo la contraseña de tu superusuario.
También la del VNC (si es que lo tienes instalado) con vncpasswd
Fíjate qué otros programas para administración remota tienes instalado (por ejemplo webmin), puede ser que por alguno de ellos estén ingresando.
- Chécate el /var/log/secure y busca ahí accesos históricos, a ver si puedes determinar con que usuario y desde donde se han logeado en caso de que haya sido vía ssh
- Chécate el /root/.bash_history tal vez quien ingresó no borró su rastro
La mejor recomendación que te puedo dar en este momento, es que para que no tengas problemas en el futuro, instales de nuevo tu mismo el servidor de tal forma que te sientas amo y señor del mismo y no estés con la incertidumbre de que por ahí hay algo que desconoces. Así de paso refrescas tus conocimientos sobre linux.
Suerte, postea como te va!
NEO
- - - - - -
www.bodegadelmp3.com
ya lo encontre, estan entrando por webmin, como lo bloqueo? AUX!
Hola Neo, no habia podido entrar al server porque tuve que resolver otros problemas criticos de programacion , pero hoy pude porfin revisarlo y efectivamente, en el /var/log/secure aparece:
Jun 29 08:42:53 xxx webmin[28483]: Successful login as admin from 200.124.247.43
Jun 29 09:06:29 xxx webmin[28678]: Successful login as admin from 200.124.247.43
Jun 29 09:47:11 xxx userhelper[29012]: pam_timestamp: updated timestamp file `/var/run/sudo/root/unknown'
Jun 29 09:47:11 xxx userhelper[29015]: running '/usr/sbin/system-config-network' with root privileges on behalf of 'root'
justo a esta hora aparece cambiada la configuracion squid y el archivo de iplibres, tambien se paro el servicio squid.
en var/log/squid.out aparece:
squid: ERROR: No running copy
squid: ERROR: No running copy
squid: ERROR: No running copy
y en cache.log aparece que el squid entra a shutdown de manera normal pero yo no le he dado ningun comando para que se apague solo, por favor ayudame a bloquear a este intruso y resolver el problema, como desactivo el webmin, tengo entendido que el administrador anterior lo usaba para crear usuarios y cambiarles las claves, pero yo nunca lo he usado ni se como se desinstala el servicio, ni como accesarlo desde otra maquina, si lo desinstalo, no se pierden las claves de los usuarios?
Por favor ayuda, no he manejado antes estas herramientas y no se como corregir este error.
Hace dos dias se cayo por completo el servicio y se soluciono borrando el cache del squid con rm -Rf /var/log/squid/* y rm -Rf /var/spool/squid/* y reconstruyendo los directorios swap con squid -z y se soluciono temporalmente el problema, pero como el intruso se sigue metiendo, no se soluciona definitivamente.
Muchas gracias por auxiliarme.
Te envio una parte del cache.log y de la configuracion squid que es bastante basica.
extracto de cahe.log:
2009/06/29 10:41:22| WARNING: Closing client 192.168.X1.77 connection due to lifetime timeout
2009/06/29 10:41:22| WARNING: Closing client 192.168.X2.100 connection due to lifetime timeout
2009/06/29 10:41:22| WARNING: Closing client 192.168.X2.23 connection due to lifetime timeout
2009/06/29 10:41:22| http://emerpad.iforex.com/receive.php?time=20090629161020375&uid=73505179-D509-72C7-1116-2293616238C0&mid=22&pid=99083_a684405e-fde9-464c-af96-fb17efaf78ca&type=loader.loaded&url=http%3A%2F%2Femerpas.iforex.com%2Fflex%2FFiles%2F99083_a684405e-fde9-464c-af96-fb17efaf78ca.html&sent=20090629161022328
2009/06/29 10:41:22| Closing unlinkd pipe on FD 15
2009/06/29 10:41:22| storeDirWriteCleanLogs: Starting...
2009/06/29 10:41:22| Finished. Wrote 38901 entries.
2009/06/29 10:41:22| Took 0.1 seconds (301070.4 entries/sec).
CPU Usage: 176.541 seconds = 105.374 user + 71.167 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
total space in arena: 26644 KB
Ordinary blocks: 26445 KB 117 blks
Small blocks: 0 KB 5 blks
Holding blocks: 208 KB 1 blks
Free Small blocks: 0 KB
Free Ordinary blocks: 198 KB
Total in use: 26653 KB 100%
Total free: 198 KB 1%
2009/06/29 10:41:22| Squid Cache (Version 2.5.STABLE14): Exiting normally.
2009/06/29 10:42:32| Starting Squid Cache version 2.5.STABLE14 for i686-redhat-linux-gnu...
2009/06/29 10:42:32| Process ID 29680
2009/06/29 10:42:32| With 1024 file descriptors available
2009/06/29 10:42:32| DNS Socket created at 0.0.0.0, port 47388, FD 5
2009/06/29 10:42:32| Adding nameserver xxx.xx.xxx.xxx from /etc/resolv.conf
2009/06/29 10:42:32| Adding nameserver xxx.xx.xxx.xxx from /etc/resolv.conf
2009/06/29 10:42:32| helperOpenServers: Starting 5 'ncsa_auth' processes
2009/06/29 10:42:32| User-Agent logging is disabled.
2009/06/29 10:42:32| Referer logging is disabled.
2009/06/29 10:42:32| Unlinkd pipe opened on FD 15
2009/06/29 10:42:32| Swap maxSize 2097152 KB, estimated 41943 objects
2009/06/29 10:42:32| Target number of buckets: 2097
2009/06/29 10:42:32| Using 8192 Store buckets
2009/06/29 10:42:32| Max Mem size: 262144 KB
2009/06/29 10:42:32| Max Swap size: 2097152 KB
2009/06/29 10:42:32| Rebuilding storage in /var/spool/squid (CLEAN)
2009/06/29 10:42:32| Using Least Load store dir selection
2009/06/29 10:42:32| Current Directory is /
2009/06/29 10:42:32| Loaded Icons.
2009/06/29 10:42:32| commBind: Cannot bind socket FD 17 to *:192: (13) Permission denied
2009/06/29 10:42:32| Accepting HTTP connections at 0.0.0.0, port 8080, FD 17.
2009/06/29 10:42:32| commBind: Cannot bind socket FD 18 to *:192: (13) Permission denied
2009/06/29 10:42:32| commBind: Cannot bind socket FD 18 to *:8080: (98) Address already in use
2009/06/29 10:42:32| commBind: Cannot bind socket FD 18 to *:192: (13) Permission denied
2009/06/29 10:42:32| Accepting HTTP connections at 0.0.0.0, port 3128, FD 18.
2009/06/29 10:42:32| commBind: Cannot bind socket FD 19 to *:192: (13) Permission denied
2009/06/29 10:42:32| commBind: Cannot bind socket FD 19 to *:3128: (98) Address already in use
2009/06/29 10:42:32| Accepting ICP messages at 0.0.0.0, port 3130, FD 19.
2009/06/29 10:42:32| WCCP Disabled.
2009/06/29 10:42:32| Ready to serve requests.
2009/06/29 10:42:33| Store rebuilding is 10.5% complete
2009/06/29 10:42:33| Done reading /var/spool/squid swaplog (38901 entries)
2009/06/29 10:42:33| Finished rebuilding storage from disk.
2009/06/29 10:42:33| 38901 Entries scanned
2009/06/29 10:42:33| 0 Invalid entries.
2009/06/29 10:42:33| 0 With invalid flags.
2009/06/29 10:42:33| 38898 Objects loaded.
2009/06/29 10:42:33| 0 Objects expired.
2009/06/29 10:42:33| 0 Objects cancelled.
2009/06/29 10:42:33| 1 Duplicate URLs purged.
2009/06/29 10:42:33| 2 Swapfile clashes avoided.
2009/06/29 10:42:33| Took 1.3 seconds (28817.1 objects/sec).
2009/06/29 10:42:33| Beginning Validation Procedure
2009/06/29 10:42:33| Completed Validation Procedure
2009/06/29 10:42:33| Validated 38898 Entries
2009/06/29 10:42:33| store_swap_size = 1358452k
2009/06/29 10:42:34| storeLateRelease: released 0 objects
2009/06/29 10:43:34| sslReadServer: FD 50: read failure: (104) Connection reset by peer
2009/06/29 10:43:39| Preparing for shutdown after 196 requests
2009/06/29 10:43:39| Waiting 30 seconds for active connections to finish
2009/06/29 10:43:39| FD 17 Closing HTTP connection
2009/06/29 10:43:39| FD 18 Closing HTTP connection
2009/06/29 10:43:59| sslReadServer: FD 59: read failure: (104) Connection reset by peer
2009/06/29 10:44:10| Shutting down...
2009/06/29 10:44:10| FD 19 Closing ICP connection
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.65 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts09.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.74 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts05.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.74 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts00.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.61 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts07.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.64 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts07.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.65 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts06.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.64 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts09.eset.com/query/chsquery.php
2009/06/29 10:44:10| WARNING: Closing client 192.168.XX.61 connection due to lifetime timeout
2009/06/29 10:44:10| http://ts04.eset.com/query/chsquery.php
2009/06/29 10:44:10| Closing unlinkd pipe on FD 15
2009/06/29 10:44:10| storeDirWriteCleanLogs: Starting...
2009/06/29 10:44:10| Finished. Wrote 38900 entries.
2009/06/29 10:44:10| Took 0.1 seconds (495832.0 entries/sec).
CPU Usage: 2.046 seconds = 1.236 user + 0.810 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
total space in arena: 20284 KB
Ordinary blocks: 19611 KB 98 blks
Small blocks: 0 KB 6 blks
Holding blocks: 208 KB 1 blks
Free Small blocks: 0 KB
Free Ordinary blocks: 672 KB
Total in use: 19819 KB 98%
Total free: 672 KB 3%
2009/06/29 10:44:10| Squid Cache (Version 2.5.STABLE14): Exiting normally.
ARCHIVO squid.conf
http_port 192.168.X1.253 8080
http_port 192.168.X2.253 8080
http_port 192.168.X1.253 3128
http_port 192.168.X2.253 3128
icp_port 3130
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 256 MB
cache_dir ufs /var/spool/squid 2048 16 256
cache_log /var/log/squid/cache.log
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_swap_log /var/log/squid/swap.log
logfile_rotate 10
redirect_rewrites_host_header off
cache_replacement_policy GDSF
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/claves
auth_param basic realm xxxxxxxxxxxxxx - Squid proxy-cache
acl porno url_regex "/etc/squid/listas/sitios_xxx"
acl ipsacceso_total src "/etc/squid/listas/ipsacceso_total"
acl localnet src 192.168.X1.0/255.255.255.0
acl localnet src 192.168.X2.0/255.255.255.0
acl ipsconta src "/etc/squid/listas/ips_cont"
acl password proxy_auth REQUIRED
acl sitios url_regex "/etc/squid/listas/sitios_cont"
acl localhost src 127.X.X.X/255.255.255.255
acl Safe_ports port 80 443 210 119 70 20 21 1025-65535
acl CONNECT method CONNECT
deny_info ERR_ACCESS_DENIED sitiosdegenerados
acl all src 0.0.0.0/0.0.0.0
http_access allow ipsacceso_total
http_access deny porno
http_access deny ipsconta !sitios
http_access allow ipsconta password sitios
http_access allow localnet password
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all
maximum_object_size 60096 KB
store_avg_object_size 50 KB
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#fake_user_agent Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122
cache_effective_user squid
cache_effective_group squid
visible_hostname xxx.xxx.ec
log_icp_queries off
buffered_logs on
#EOF
POR FAVOR, SI HAY ALGUNA LINEA QUE CORREGIR LE AGRADECERIA UN MUNDO QUE ME LO INDICARA. MUCHAS GRACIAS
Que tal amigo emduval. Si
Que tal amigo emduval.
Si olía a KMs que era un DoS viste ;).
A veeeeer.
Cambia la clave del Webmin.
El bendito hacker no hace ninguna hazaña al ingresar a tu computador. Si igual ha tenido la clave jajaja e ingresa por WebMin :=)
Basta con cambiarle la clave. Creo que podrías cambiar la clave del root con el comando passwd, sino me equivoco ese cambio afectará también al webmin.
Podrías bloquear la IP 200.124.247.43 aunque dudo que el siempre se vaya a conectar del mismo lugar. Además creo que "le vale" que sepan que está ingresando.. te das cuenta? es eso o no sabe como borrar huella.
Ahora, la recomendación que te hice anteriormente.
Quien sea que haya ingresado a tu server ya lo corrompió, es posible que deje abiertas puertas, o acceda a información de manera clandestina, o todo lo que te puedas imaginar.
Mejor hazte un server tu mismo del cual seas amo y señor
Saludos
NEO
- - - - - -
www.bodegadelmp3.com
umm postea solo la parte de
umm postea solo la parte de configuracion de tu squid para darte un hilo
aca tienes algunos tips para mejorar la performance de tu squid
para equipos con mas de 512 Mb ram este valor funciona bien
cache_mem 250 MB
desactiva en la parte de store, con eso reduces los accesos RW al hd
cache_store log none
aca viene la parte interesante
cache_dir diskd /var/spool/squid 15000 30 256
Por defecto el formato de almacenamiento es ufs, al cambiarlo mejorara tu rendimiento, el resto de parametros 15000 es 15 Gb como tope para almacenamiento del cache.
Disculpame si suena grosero...
Ya postee eso en otro hilo y no quisiera sonar grosero... pero porque complicar amigo?
Que hay acerca de usar algo q. ya este listo y que simplimente funcione?
- Untangle
- ClackConnect
- SmoothWall
- eBox Platform
y por ahi va.
Tengo proxies y firewalls instalados y funcionando en varios servidores linux, y se muy poco de iptables y casi nada de Squid...
W. Bender del MIT media lab diria: "Simplicity hinges as much on cutting nonessential features as on adding helpful ones."
PLS,
chopeta
"Toda la unanimidad es tonta." -Nelson Rodrigues
pues no entiendo tu hilo, no
pues no entiendo tu hilo, no tiene nada q ver con la inquietud q dice el pana... esta preguntando algo especifico de squid (aunque no da muchos detalles) y tu dices q no se complique la vida...
Muchas Gracias
Muchas gracias Falcon, ya aplique los cambios al squid; pero te queria comentar algo extraño que paso, que tambien se lo comente a NEO, el archivo de texto que guardaba las direcciones ip libres de un ACL que defini como IPLIBRES estaba vacio. y alguien o algo habia cambiado la configuracion de squid por otro archivo mas antiguo. ?Es posible que alguien, por ejemplo, la persona que configuro el servidor y que ya no trabaja en la institucion, pueda entrar al servidor y hacer esto?. ?comoque tendria que hacer para evitarlo?, la verdad no se mucho de seguridades anti hackers en linux y yo no configure este servidor sino que ya estaba configurado, y esta persona tengo entendido que no salio en buenos terminos.
Tambien gracias por el comentario del "hilo", la verdad no le entendi nada a este pana.
Todo Bien,
YA te paso la configuracion del squid para que la cheques,
Nuevamente Gracias
pero claro q es posible,
pero claro q es posible, (pueden entrar a tu server) tienes q armarte un buen firewall y cambiar todos los password y accesos, aca hay una muy buena guia con buenos ejemplos
http://www.pello.info/filez/firewall/iptables.html
ok postea unicamente lo pertienente ok
Páginas