iptraf

Satara Plaza satarap en gmail.com
Jue Feb 7 11:21:27 CLST 2008


Estimados Amigos, es un gusto saludarlos, tengo un drama, sucede que hoy
revise el cisco y me encontre que las luces de TxRX estaban como locas , no
usual como de costumbre. Por lo que fui a mi servidor (Debian etch, squid
transparente, postfix, bind9, courrier-imap, dovecot, qpopper, dhcp,
apache2, Squirrelmail, en un PIII 900Mhz, 96MRAM, ide 20G, eth0 para la Wan
con ip fija de entel, eth1para la Lan) , y lo revise con :
# iptraf
mirando los paquetes en eth0 , apage TODAS las maquinas y me puse a analizar
, para mi sorpresa me aparece en paquetes capturados (parte inferior del
iptraf)
UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
HWaddr ....
UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
HWaddr ....
UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
HWaddr ....
UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
HWaddr ....
UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr
....
UDP (59 bytes) from 64.18.140.180:PUERTOS to MI_DOMINIO:domain (src HWaddr
....
UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr
....
UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr
....
UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr
....
UDP (59 bytes) from 124.192.42.0:PUERTOS to MI_DOMINIO:domain (src HWaddr
....
UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
HWaddr ....
UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
HWaddr ....
UDP (59 bytes) from redneck.farmr.com:PUERTOS to MI_DOMINIO:domain (src
HWaddr ....
..etc
Amigos estoy CASI a abrazos cruzados, intente bloquear la ip con ip tables
/sbin/iptables -A INPUT -s 64.18.140.180 -j DROP
y nada... luego instale el fail2ban
y nada...obviamente revisándolo.
me puse a actualizar los paquetes de debian, eran muy pocos.
apt-get update && upgrade
y nada, siguen los paquetes mandándose y recibiendo.
baje los servicios de uno por uno.. solo quede con netstat -tlp
mi_dominio:/var/log# netstat -tulp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address
State       PID/Program name
tcp        0      0 *:756                   *:*
LISTEN     2270/rpc.statd
tcp6       0      0 *:ssh                   *:*
LISTEN     23685/sshd
udp        0      0 *:kerberos4
*:*                                2270/rpc.statd
udp        0      0 *:753
*:*                                2270/rpc.statd
mi_dominio:/var/log#
el ssh también lo baje, lo use para capturar el netstat.
Alguna Idea o necesitan algunos detalles mas?? tengo cuentas 10 cuentas de
correo de las cuales 6 son de ventas y son muy importantes para nosotros,
por lo cual no puedo bajar ningún servio más.
Atte.
Cesar.


Más información sobre la lista de distribución Linux