tcpd [3674]: conectar de desconhecido (desconhecido) - Estou sendo hackeado?

Question

tcpd [3674]: conectar de desconhecido (desconhecido) - Estou sendo hackeado?

1

Hoje cedo eu tinha 7 processos tcpd no meu servidor rodando a 100% cpu por um longo período de tempo. Olhando para o syslog eu encontrei muitas linhas como esta:

 tcpd[11447]: connect from unknown (unknown)

Um snippet maior está no final desta questão. Vasculhando o syslog, acabei encontrando vários endereços IP que não reconheci. Eu os adicionei ao arquivo hosts.deny e matei manualmente os processos tcpd.

Acabei de descobrir outra conexão de um novo endereço IP, que também matei.

Isso é algum tipo de ataque de negação de serviço e, em caso afirmativo, o que posso fazer sobre isso?

Nota: este servidor está executando o 12.04 LTS atualizado com as atualizações de segurança mais recentes. Desde a minha postagem original desta pergunta eu instalei algumas regras de firewall usando o ufw. Eu permito apenas as conexões ssh e as conexões necessárias para meus backups externos. Até agora eu não vi nenhuma das conexões tcp mencionadas acima.

Aqui está um snippet maior do meu syslog:

    Feb 18 03:45:12 odie tcpd[11447]: connect from unknown (unknown)
    Feb 18 03:45:12  tcpd[11447]: last message repeated 199 times
    Feb 18 03:45:12 odie rsyslogd-2177: imuxsock begins to drop messages from pid 11447 due to rate-limiting
    Feb 18 03:45:18 odie rsyslogd-2177: imuxsock lost 6671 messages from pid 11447 due to rate-limiting
    Feb 18 03:45:18 odie tcpd[11447]: connect from unknown (unknown)
    Feb 18 03:45:18  tcpd[11447]: last message repeated 199 times
    Feb 18 03:45:18 odie rsyslogd-2177: imuxsock begins to drop messages from pid 11447 due to rate-limiting
    Feb 18 03:45:20 odie console-kit-daemon[1928]: WARNING: Failed to add monitor on '/dev/pts/4': No space left on de
    vice
    Feb 18 03:45:24 odie rsyslogd-2177: imuxsock lost 6785 messages from pid 11447 due to rate-limiting
    Feb 18 03:45:24 odie tcpd[11447]: connect from unknown (unknown)
    Feb 18 03:45:24  tcpd[11447]: last message repeated 199 times
    Feb 18 03:45:24 odie rsyslogd-2177: imuxsock begins to drop messages from pid 11447 due to rate-limiting
    Feb 18 03:45:30 odie rsyslogd-2177: imuxsock lost 6810 messages from pid 11447 due to rate-limiting
    Feb 18 03:45:30 odie tcpd[11447]: connect from unknown (unknown)

por Mike T 18.02.2015 / 04:11

0 respostas

Como adicionar o driver ao dkms? Netflix no Chrome 40 não funciona