Posible virus en servidores linux

Iniciado por ffirvida, 21 Junio 2010, 11:41 AM

0 Miembros y 1 Visitante están viendo este tema.

ffirvida

Hola a todos,
Soy nuevo por aqui, pero ya no se como solucionar todos los problemas que tengo.
Os comento, tengo 2 servidores con linux (uno con ubuntu y otro red hat) y un windows.
Ultimamente, los servidores linux me "pierden" la red, es decir, le hago un ping y no responden. Estan conectados por un swich, ya probe a cambiar el swich, y me sigue pasando lo mismo.
Lo curioso es que cuando no responden al ping, desde mi equipo me conecto a la red con el wireshark y me salen repetidos registros de solicitud (desde el servidor que no responde) preguntando por  equipos de la red, en formato tal como "who is hostname = ***** address = *****", lo mas curioso es que este host esta apagado y cuando lo enciendo, el servidor recupera la red.
Ya probe a reiniciar en ese momento el servidor y sigue sin red, al apagar el servidor me muestra informacion variada tal como:
***Syncing hardware clock to system time printk: 33 messages supressed type=
**type=1111 audit("numeros") user pid= 1873 uid=0 auid= numeros ..........
changing system time : exe "sbin/hwclock" (hostname=?, addr=? terminal console
res = sucess****

Si alguien me puede ayudar se lo agradezco. :huh:
Gracias a todos

SuXoR


Estas diciendo que apagas el equipo con windows y pierdes la red.

¿ Tiene ese equipo algo de particular ? ¿ Qué servicios estas corriendo en el ?

Axtrall

Es posible que tengas a este equipo ,que cuando lo enciendes entonces funciona, como Gateway de tu otro equipo ?
Mira a ver con el comando "route" a ver como lo tienes configurado.

Saludos.
La felicidad es siempre un objetivo, no un estado.

ffirvida

#3
Hola, pues si, apago un equipo windows y se pierde la red, pero es aleatorio, me pasa con mas equipos que uno.
Con el comando route no me saca ninguno de esos equipos, es algo muy raro.
Aunque si me aparece una ip que no me suena, pone algo asi:
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0

:huh:

madpitbull_99

Seguramente sea algun protocolo mal configurado . Empieza a comprobarlos todos .



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

Falso Positivo

Cita de: ffirvida en 23 Junio 2010, 13:27 PM
Hola, pues si, apago un equipo windows y se pierde la red, pero es aleatorio, me pasa con mas equipos que uno.
Con el comando route no me saca ninguno de esos equipos, es algo muy raro.
Aunque si me aparece una ip que no me suena, pone algo asi:
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0

:huh:

Buenas, como dicen, tirate un route del equipo problemático en cuestion pero conectado a la red ya que parece que tiene una dirección de DHCP local, por ejemplo en mi VM tengo:

[root@gf ~]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     1      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0


Luego en el Windows le da a:
C:\Users\rockkk>route PRINT

Y posteas ésta parte:


===========================================================================
[b]Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0      192.168.1.1  Default[/b]
===========================================================================



Después de eso seguimos ;)
Don't worry, be hacked....

luinuz

Estoy de acuerdo con Falso Positivo. Por otra parte el mensaje ;
Citar***Syncing hardware clock to system time printk: 33 messages supressed type=
**type=1111 audit("numeros") user pid= 1873 uid=0 auid= numeros ..........
changing system time : exe "sbin/hwclock" (hostname=?, addr=? terminal console
res = sucess****
lo que te esta diciendo es que el equipo intenta sincronizar el reloj HW con el comando hwclock.

La parte de;
Citarprintk: 33 messages supressed type=
Es normal. El kernel a intentado imprimir el mismo mensaje 34 veces en un corto espacio de tiempo y para evitar una saturacion en los logs del sistema solo imprime el primer mensaje y te advierte que habia 33 mas que no te muestra.

Tranquilo que en principio no parece ningun virus, revisa la configuracion de tu reloj usando hwclock.

SuXoR

Creo recordar que en Linux existe la posibilidad de que tu reloj se sincronice con otro o algo así. Puede tener algo que ver con este tema.