Forums:
Buenos días amigos,
Tengo un problema que me está causando serios dolores de cabeza, tengo un servidor web en joomla con centos 5, a la vez hace de proxy con squid, además está instalado shorewall con varias reglas para limitar la navegación por ip.
El problema es que estoy casi seguro que tengo algún problema de seguridad en el servidor pero la verdad no se que logs debo revisar y como interpretarlos.
El problema detecto que se debe algo con el shorewall, no se si por algun ataque externo o interno algo como "denegación de servicio", el shorewall se bloquea y me traba al servidor, a parte este servidor está conectado a un switch antes de conectar al router del proveedor, y las máquinas que están en ese switch igual pierden conectividad con internet.
Desconecto físicamente el cable de red del servidor y sigue trabada mi red sin poder navegar, por lo que debo reiniciar el router del proveedor para navegar y a parte reinciar el servidor web.
Al momento que se está reiniciando el servidor web y está suspendiendo los servicios sale claramente el mensaje:
Shorewall: fw2net: ACCEPT IN= OUT= eth1 SRC=[ip del servidor web] DST=158.58.168.77 LE=43 TOS=0X00 PROTO=UDP STP=46937 DTP=0 LEN=23
Y cuando acaba de parar el servicio squid, cierra 2 procesos más y el mensaje antes escrito sale indefinidamente y debo apagar bruscamente el servidor.
Esto me está sucewdiendo cada 5 o 10 minutos, realmente estoy desesperado, tal vez alguien me podría guiar que hacer? o si debo reinstalart el shorewall o no se..
Muchas gracias.
Problema Shorewall
Buenos días amigos,
Tengo un problema que me está causando serios dolores de cabeza, tengo un servidor web en joomla con centos 5, a la vez hace de proxy con squid, además está instalado shorewall con varias reglas para limitar la navegación por ip.
El problema es que estoy casi seguro que tengo algún problema de seguridad en el servidor pero la verdad no se que logs debo revisar y como interpretarlos.
El problema detecto que se debe algo con el shorewall, no se si por algun ataque externo o interno algo como "denegación de servicio", el shorewall se bloquea y me traba al servidor, a parte este servidor está conectado a un switch antes de conectar al router del proveedor, y las máquinas que están en ese switch igual pierden conectividad con internet.
Desconecto físicamente el cable de red del servidor y sigue trabada mi red sin poder navegar, por lo que debo reiniciar el router del proveedor para navegar y a parte reinciar el servidor web.
Al momento que se está reiniciando el servidor web y está suspendiendo los servicios sale claramente el mensaje:
Shorewall: fw2net: ACCEPT IN= OUT= eth1 SRC=[ip del servidor web] DST=158.58.168.77 LE=43 TOS=0X00 PROTO=UDP STP=46937 DTP=0 LEN=23
Y cuando acaba de parar el servicio squid, cierra 2 procesos más y el mensaje antes escrito sale indefinidamente y debo apagar bruscamente el servidor.
Esto me está sucewdiendo cada 5 o 10 minutos, realmente estoy desesperado, tal vez alguien me podría guiar que hacer? o si debo reinstalart el shorewall o no se..
Muchas gracias.
------- :-D --------
Saludos.
Migueman
[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]
lo primero actualiza tu
lo primero actualiza tu server si no puedes pasarte a centos 6.3 x lo menos actualiza a centos 5.8 q es la ultima de la rama 5x
segundo revisa tu archivo de logs
cat /var/log/messagescat /var/log/securetercera instala seguridad adicional aparte como fail2ban (busca aca mismo colocaron un how to, o yo mismo lo puse ni me acuerdo...)
cuarto. cierra todo en tu shorewall exepto los servicios q tengas q necesariamente tenerlos abiertos.
quinto. si tu server esta comprometido lo mejor es backup/ y luego formatear de 0
Más información
Instalé el rkhunter en busca de malware y corriendolo estos son los warnings encontrados:
system commands:
/sbin/ifdown (warning)
/sbin/ifup (warning)
/usr/bin/GET (warning)
/usr/bin/groups (warning)
/usr/bin/ldd (warning)
/usr/bin/whatis (warning)
rootkits ok
performing malware cheks:
Checking running processes for suspicious files (warning)
Cheking the network:
checking for root equivalent (UID 0) accounts (warning)
checking /dev for suspicious file types (warning)
checking for hidden files and directories (warning)
checking aplication versions.. (warning)
checking version Apache (warning)
OpenSSL (warning)
PHP (warning)
OpenSSH (warning)
en el resumen:
archivos sospechosos: 6
posibles rootkits: 1
aplicaciones sospechosas: 4
------- :-D --------
Saludos.
Migueman
[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]
Revisa el log del rkhunter
Revisa el log del rkhunter ahí encontrarás el detalle de los warnings que te está mostrando, en algunos casos se debe a que no tienes las últimas versiones de servicios como apache o ssh, lo del root equivaent es preocupante si no lo has creado tú ...
bye
;)
Sip eso mismo me fije y estoy
Sip eso mismo me fije y estoy enterándome del asunto, gracias por responder.
Escribiré cualquier adelanto.
------- :-D --------
Saludos.
Migueman
[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]
Falcom muchas gracias por tus
Falcom muchas gracias por tus comentarios, los seguiré al pie de la letra ;)
------- :-D --------
Saludos.
Migueman
[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]