|
Título: Posible virus en servidores linux Publicado por: ffirvida en 21 Junio 2010, 11:41 am Hola a todos,
Soy nuevo por aqui, pero ya no se como solucionar todos los problemas que tengo. Os comento, tengo 2 servidores con linux (uno con ubuntu y otro red hat) y un windows. Ultimamente, los servidores linux me "pierden" la red, es decir, le hago un ping y no responden. Estan conectados por un swich, ya probe a cambiar el swich, y me sigue pasando lo mismo. Lo curioso es que cuando no responden al ping, desde mi equipo me conecto a la red con el wireshark y me salen repetidos registros de solicitud (desde el servidor que no responde) preguntando por equipos de la red, en formato tal como "who is hostname = ***** address = *****", lo mas curioso es que este host esta apagado y cuando lo enciendo, el servidor recupera la red. Ya probe a reiniciar en ese momento el servidor y sigue sin red, al apagar el servidor me muestra informacion variada tal como: ***Syncing hardware clock to system time printk: 33 messages supressed type= **type=1111 audit("numeros") user pid= 1873 uid=0 auid= numeros .......... changing system time : exe "sbin/hwclock" (hostname=?, addr=? terminal console res = sucess**** Si alguien me puede ayudar se lo agradezco. :huh: Gracias a todos Título: Re: Posible virus en servidores linux Publicado por: SuXoR en 22 Junio 2010, 15:42 pm Estas diciendo que apagas el equipo con windows y pierdes la red. ¿ Tiene ese equipo algo de particular ? ¿ Qué servicios estas corriendo en el ? Título: Re: Posible virus en servidores linux Publicado por: Axtrall en 22 Junio 2010, 15:50 pm Es posible que tengas a este equipo ,que cuando lo enciendes entonces funciona, como Gateway de tu otro equipo ?
Mira a ver con el comando "route" a ver como lo tienes configurado. Saludos. Título: Re: Posible virus en servidores linux Publicado por: ffirvida en 23 Junio 2010, 13:27 pm Hola, pues si, apago un equipo windows y se pierde la red, pero es aleatorio, me pasa con mas equipos que uno.
Con el comando route no me saca ninguno de esos equipos, es algo muy raro. Aunque si me aparece una ip que no me suena, pone algo asi: 169.254.0.0 * 255.255.0.0 U 0 0 0 eth0 :huh: Título: Re: Posible virus en servidores linux Publicado por: madpitbull_99 en 23 Junio 2010, 23:05 pm Seguramente sea algun protocolo mal configurado . Empieza a comprobarlos todos .
Título: Re: Posible virus en servidores linux Publicado por: Falso Positivo en 24 Junio 2010, 19:43 pm Hola, pues si, apago un equipo windows y se pierde la red, pero es aleatorio, me pasa con mas equipos que uno. Con el comando route no me saca ninguno de esos equipos, es algo muy raro. Aunque si me aparece una ip que no me suena, pone algo asi: 169.254.0.0 * 255.255.0.0 U 0 0 0 eth0 :huh: Buenas, como dicen, tirate un route del equipo problemático en cuestion pero conectado a la red ya que parece que tiene una dirección de DHCP local, por ejemplo en mi VM tengo: Código: [root@gf ~]# route Luego en el Windows le da a: C:\Users\rockkk>route PRINT Y posteas ésta parte: Código: =========================================================================== Después de eso seguimos ;) Título: Re: Posible virus en servidores linux Publicado por: luinuz en 24 Junio 2010, 22:48 pm Estoy de acuerdo con Falso Positivo. Por otra parte el mensaje ;
Citar ***Syncing hardware clock to system time printk: 33 messages supressed type= lo que te esta diciendo es que el equipo intenta sincronizar el reloj HW con el comando hwclock. **type=1111 audit("numeros") user pid= 1873 uid=0 auid= numeros .......... changing system time : exe "sbin/hwclock" (hostname=?, addr=? terminal console res = sucess**** La parte de; Citar printk: 33 messages supressed type= Es normal. El kernel a intentado imprimir el mismo mensaje 34 veces en un corto espacio de tiempo y para evitar una saturacion en los logs del sistema solo imprime el primer mensaje y te advierte que habia 33 mas que no te muestra.Tranquilo que en principio no parece ningun virus, revisa la configuracion de tu reloj usando hwclock. Título: Re: Posible virus en servidores linux Publicado por: SuXoR en 25 Junio 2010, 00:08 am Creo recordar que en Linux existe la posibilidad de que tu reloj se sincronice con otro o algo así. Puede tener algo que ver con este tema.
|