Conexões de Rede Intermitentes - CentOS

Navegue suas respostas
4

Estou tendo um problema muito estranho em um dos meus servidores, que parecem perder conexões em intervalos de alguns minutos:

ele é executado em um arco de 64 bits do CentOS 6.5 e freqüentemente experimenta desconexões de rede.

Eu isolei a falha por meio de uma série de TCPDUMPS, mas notei que meu servidor parece estar fazendo algumas chamadas para um endereço IP desconhecido em uma porta de destino de 6004 

10:26:09.323489 IP xxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [S], seq 4085665640, win 14600, options [mss 1460,sackOK,TS val 57778507 ecr 0,nop,wscale 7], length 0
10:26:09.325540 IP 103.233.80.202.static.krypt.com.6004 > xxxxx.43725: Flags [S.], seq 1064636205, ack 4085665641, win 64240, options [mss 1400,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
10:26:09.325561 IP xxxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [.], ack 1, win 115, options [nop,nop,TS val 57778509 ecr 0], length 0
10:26:09.325855 IP xxxxx.43725 > 103.233.80.202.static.krypt.com.6004: Flags [P.], seq 1:29, ack 1, win 115, options [nop,nop,TS val 57778509 ecr 0], length 28

aqui está um exemplo de saída de uma dessas conexões via netstat: 

tcp        0      0 XX.XX.XX.XX:43730            103.233.80.202:6004         ESTABLISHED 1218/netstat -an

Parece-me que a conexão está saindo do meu servidor para um endereço IP na Tailândia na porta 6004.

Eu segui isso para um processo executado pelo root: 

root      1218     1 60 10:11 ?        00:14:49 netstat -an

Eu tentei bloquear esses endereços IP no iptables, mas isso só funciona como uma solução temporária. (bem como o processo associado), mas percebo que o problema voltará a ocorrer em algumas horas. Por enquanto eu parei o servidor, mas não sei como proceder a partir daqui. (Parando antes de uma reinstalação completa)

Alguma idéia do que eu posso fazer para rastrear isso em algo no servidor?

    
por jaglin84 25.11.2015 / 03:40

1 resposta

1

Seu sistema parece estar comprometido por um bot, eu suspeito. Pela sua descrição, pode muito bem ser uma variante do ChinaZ.DDOS.

Essas botnets geralmente examinam e atacam servidores vulneráveis e instalam malware.

Eu me atreveria a dizer que você pode estar perdendo a conexão porque seu firewall ou roteadores estão recebendo muitas conexões a partir dela, e alguma tabela está esgotada ou eles têm configurações de mitigação de DDoS e bloqueiam-na temporariamente.

Eu lidaria com o servidor como comprometido e o reinstalaria.

Você pode querer lançá-lo em uma rede protegida para estudar o comportamento e aproveitar a oportunidade para aprender mais sobre segurança.

Faça o download e execute o maldetect e / ou um antivírus para ver se você descobriu o nome do que obteve. Use sysdig ou dtrace4linux para rastrear chamadas do sistema, arquivos acessados e rede e diversas atividades do sistema.

Vou deixar um link relacionado. Poderia ou não ser isso, uma investigação mais detalhada dirá o contrário.

link

Vou deixar alguns links relacionados das ferramentas:

Detecção de malware do Linux link

dtrace4linux link

sysdig link

Quanto aos procedimentos, essa versão do CentOS já tem 2 anos e não teve atualizações por um ano, se não estou errado. Qualquer tipo de servidor conectado à Internet precisa ser atualizado, ou isso está prestes a acontecer. Eu já tive uma falha de rede no passado devido a uma ocorrência semelhante.

    
por 25.11.2015 / 04:40

Tags

O Unity é o único ambiente de área de trabalho que suporta atalhos de teclado para iniciar e focar programas e não agrupa aplicativos da Web com o navegador? Como obtenho a saída / erro padrão de um serviço, controlado pelo systemd no EL7, para ir a algum lugar diferente de / var / log / messages?