elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Comunicaciones
| |-+  Redes
| | |-+  Posible virus en servidores linux
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Posible virus en servidores linux  (Leído 6,191 veces)
ffirvida

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Posible virus en servidores linux
« en: 21 Junio 2010, 11:41 am »

Hola a todos,
Soy nuevo por aqui, pero ya no se como solucionar todos los problemas que tengo.
Os comento, tengo 2 servidores con linux (uno con ubuntu y otro red hat) y un windows.
Ultimamente, los servidores linux me "pierden" la red, es decir, le hago un ping y no responden. Estan conectados por un swich, ya probe a cambiar el swich, y me sigue pasando lo mismo.
Lo curioso es que cuando no responden al ping, desde mi equipo me conecto a la red con el wireshark y me salen repetidos registros de solicitud (desde el servidor que no responde) preguntando por  equipos de la red, en formato tal como "who is hostname = ***** address = *****", lo mas curioso es que este host esta apagado y cuando lo enciendo, el servidor recupera la red.
Ya probe a reiniciar en ese momento el servidor y sigue sin red, al apagar el servidor me muestra informacion variada tal como:
***Syncing hardware clock to system time printk: 33 messages supressed type=
**type=1111 audit("numeros") user pid= 1873 uid=0 auid= numeros ..........
changing system time : exe "sbin/hwclock" (hostname=?, addr=? terminal console
res = sucess****

Si alguien me puede ayudar se lo agradezco. :huh:
Gracias a todos


En línea

SuXoR

Desconectado Desconectado

Mensajes: 177


Ver Perfil
Re: Posible virus en servidores linux
« Respuesta #1 en: 22 Junio 2010, 15:42 pm »


Estas diciendo que apagas el equipo con windows y pierdes la red.

¿ Tiene ese equipo algo de particular ? ¿ Qué servicios estas corriendo en el ?


En línea

Axtrall

Desconectado Desconectado

Mensajes: 40


Ver Perfil
Re: Posible virus en servidores linux
« Respuesta #2 en: 22 Junio 2010, 15:50 pm »

Es posible que tengas a este equipo ,que cuando lo enciendes entonces funciona, como Gateway de tu otro equipo ?
Mira a ver con el comando "route" a ver como lo tienes configurado.

Saludos.
En línea

La felicidad es siempre un objetivo, no un estado.
ffirvida

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Posible virus en servidores linux
« Respuesta #3 en: 23 Junio 2010, 13:27 pm »

Hola, pues si, apago un equipo windows y se pierde la red, pero es aleatorio, me pasa con mas equipos que uno.
Con el comando route no me saca ninguno de esos equipos, es algo muy raro.
Aunque si me aparece una ip que no me suena, pone algo asi:
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0

 :huh:
« Última modificación: 23 Junio 2010, 16:56 pm por ffirvida » En línea

madpitbull_99
Colaborador
***
Desconectado Desconectado

Mensajes: 1.911



Ver Perfil WWW
Re: Posible virus en servidores linux
« Respuesta #4 en: 23 Junio 2010, 23:05 pm »

Seguramente sea algun protocolo mal configurado . Empieza a comprobarlos todos .
En línea



«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red
Falso Positivo

Desconectado Desconectado

Mensajes: 243



Ver Perfil WWW
Re: Posible virus en servidores linux
« Respuesta #5 en: 24 Junio 2010, 19:43 pm »

Hola, pues si, apago un equipo windows y se pierde la red, pero es aleatorio, me pasa con mas equipos que uno.
Con el comando route no me saca ninguno de esos equipos, es algo muy raro.
Aunque si me aparece una ip que no me suena, pone algo asi:
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0

 :huh:

Buenas, como dicen, tirate un route del equipo problemático en cuestion pero conectado a la red ya que parece que tiene una dirección de DHCP local, por ejemplo en mi VM tengo:
Código:
[root@gf ~]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     1      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

Luego en el Windows le da a:
C:\Users\rockkk>route PRINT

Y posteas ésta parte:

Código:
===========================================================================
[b]Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0      192.168.1.1  Default[/b]
===========================================================================


Después de eso seguimos ;)
En línea

Don't worry, be hacked....
luinuz

Desconectado Desconectado

Mensajes: 239


Ver Perfil WWW
Re: Posible virus en servidores linux
« Respuesta #6 en: 24 Junio 2010, 22:48 pm »

Estoy de acuerdo con Falso Positivo. Por otra parte el mensaje ;
Citar
***Syncing hardware clock to system time printk: 33 messages supressed type=
**type=1111 audit("numeros") user pid= 1873 uid=0 auid= numeros ..........
changing system time : exe "sbin/hwclock" (hostname=?, addr=? terminal console
res = sucess****
lo que te esta diciendo es que el equipo intenta sincronizar el reloj HW con el comando hwclock.

La parte de;
Citar
printk: 33 messages supressed type=
Es normal. El kernel a intentado imprimir el mismo mensaje 34 veces en un corto espacio de tiempo y para evitar una saturacion en los logs del sistema solo imprime el primer mensaje y te advierte que habia 33 mas que no te muestra.

Tranquilo que en principio no parece ningun virus, revisa la configuracion de tu reloj usando hwclock.
En línea

SuXoR

Desconectado Desconectado

Mensajes: 177


Ver Perfil
Re: Posible virus en servidores linux
« Respuesta #7 en: 25 Junio 2010, 00:08 am »

Creo recordar que en Linux existe la posibilidad de que tu reloj se sincronice con otro o algo así. Puede tener algo que ver con este tema.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
EE UU aplaza el cierre de servidores con el virus DNSChanger
Noticias
wolfbcn 0 1,823 Último mensaje 7 Marzo 2012, 01:37 am
por wolfbcn
Juegos en linux: Si es posible!!! « 1 2 ... 15 16 »
GNU/Linux
dato000 158 164,091 Último mensaje 6 Octubre 2017, 09:52 am
por animanegra
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines