Como quito el html? Tengo fail2ban pero no se de donde tomar el log para bloquear las peticiones de esas IPs. Estoy probando chkrootkit, jaja ya me salio: Checking `lkm'... You have 8 process hidden for readdir commandYou have 9 process hidden for ps commandchkproc: Warning: Possible LKM Trojan installed Ahora a investigar como quitarlo. Gracias camaleon
> To: debian-user-spanish@lists.debian.org > From: noela...@gmail.com > Subject: Re: Ataque en servidor debian 7 > Date: Wed, 20 May 2015 17:24:15 +0000 > > El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: > > > Buenas tardes. > > (ese html...) > > > Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un > > servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el > > ancho de banda de subida. > > Ejecute un comando "netstat -antop" para ver la conexiones activas y hay > > muchas como esta tcp 0 1 m.i.i.p:34728 > > 115.231.218.106:1987 SYN_SENT 24089/ls -la on (0.82/1/0)tcp > > 0 1 m.i.i.p:34796 115.231.218.106:1987 SYN_SENT > > 17636/grep "A" on (1.86/1/0)tcp 0 1 m.i.i.p:34807 > > 115.231.218.106:1987 SYN_SENT 18536/pwd on (2.52/2/0)tcp > > 0 1 m.i.i.p:34873 115.231.218.106:1987 SYN_SENT > > 18955/gnome-termina on (2.41/2/0) > > Intentando bloquear mate los procesos con "kill ". Pero enseguida > > aparecen mas. Después bloquear la IP. > > iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s > > 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien > > me podria guiar en que podria hacer? > > Pues yo haría dos cosas: > > 1/ Ejecutar un anti-rootkit > 2/ Fail2ban > > Saludos, > > -- > Camaleón > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: https://lists.debian.org/pan.2015.05.20.17.24...@gmail.com >
