Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Serwer na Ubuntu blokuje sieć - Ubuntu 10.04.4 + router DSL Orange

28 Wrz 2017 08:49 585 6
  • Poziom 22  
    Witam...
    Posiadam serwer z Ubuntu 10.04.4 - (wiem stara wersja ale nie mam możliwości zmiany) od wczoraj serwer zaczął generować błędy na routerze DSL z Orange i przerywać co chwile połączenie internetowe. Jak wyłączę serwer - sieć wraca do życia i wszystko działa.

    Logi z routera o treści:
    Serwer na Ubuntu blokuje sieć - Ubuntu 10.04.4 + router DSL Orange

    Treść błędu w logu to kernel: xt_TCPMSS: bad length (896 bytes) - rośnie lawinowo

    Czy ktoś spotkał się z tym problemem?
  • Pomocny post
    Poziom 31  
    Sprawdź na ubuntu co się dzieje, czy nie ma uruchomionych dziwnych procesów lub czy nie generuje dziwnego ruchu. Być może ktoś się na niego włamał i używa do DDoS.
  • Poziom 22  
    Dziękuję za odpowiedź, sprawdzam ale moja wiedza nie wychodzi po za Windows - sprawdzam po omacku. Jest jakiś ruch do Chińskich serwerów i jest dość spory.
    Jak zablokować go dla internetu a zostawić tylko siec lokalną?

    Dodano po 41 [minuty]:

    W połączeniu sieciowym usunąłem DNS i bramę (wpisując 0.0.0.0) - serwer nie blokuje już ruchu internetowego i jest widoczny lokalnie.
    Szukam teraz "czegoś" podobnego do windowsowego combofixa do przeskanowania.
  • Poziom 22  
    Witam w nowym dniu mojej walki.
    Na wspomnianym serwerze zainstalowałem ESETa Antywirusa bo mam na niego licencje.
    Wykrywa trojana o nazwie Xorddos usuwa pliki zainfekowane na bieżąco ale zaraz powstają nowe.
    Aktualnie poszukuję sposobu na wywalenie go z serwera, albo chociaż zabicie skuteczne z procesów.
  • Pomocny post
    Poziom 31  
    Najpierw zastanów się w jaki sposób wirus dostał się do serwera. Jest na publicznym ip? Jakie ma usługi? Na prawach jakiego użytkownika działa wirus? Pokaż wynik polecenia pstree.
  • Poziom 22  
    Spróbuje odpowiedzieć na pytania:
    - Serwer jest na publicznym IP.
    - głównie służy jako serwer dla Tomcat-a
    - użytkownik jest administratorem
    - komenda pstree:

    login as: root
    root(malpa)80.xx.xxx.xxx's password:
    Linux smok 2.6.32-47-generic #109-Ubuntu SMP Tue May 7 02:03:05 UTC 2013 i686 GN U/Linux
    Ubuntu 10.04.4 LTS

    Welcome to Ubuntu!
    * Documentation: https://help.ubuntu.com/

    161 packages can be updated.
    0 updates are security updates.

    New release 'precise' available.
    Run 'do-release-upgrade' to upgrade to it.

    Last login: Fri Sep 29 07:35:54 2017 from betscher.local
    root@smok:~# mc

    root@smok:/etc# exit
    exit

    root@smok:~# pstree
    init¦T¦NetworkManager
    +¦acpid
    +¦apache2¦¦¦5*[apache2]
    +¦atd
    +¦avahi-daemon¦¦¦avahi-daemon
    +¦bonobo-activati¦¦¦{bonobo-activat}
    +¦clock-applet
    +¦console-kit-dae¦¦¦63*[{console-kit-da}]
    +¦cron
    +¦cupsd
    +¦2*[dbus-daemon]
    +¦2*[dbus-launch]
    +¦dxryrutccvbi
    +¦esets_daemon¦T¦esets_daemon¦¦¦7*[{esets_daemon}]
    - L¦esets_mac¦¦¦{esets_mac}
    +¦explorer.exe
    +¦gconfd-2
    +¦gdm-binary¦T¦gdm-simple-slav¦T¦Xorg
    - - +¦gdm-session-wor¦T¦gnome-session¦T¦compiz¦¦¦sh¦¦¦gtk-window-deco
    - - - - +¦deja-dup-monito
    - - - - +¦esets_gui
    - - - - +¦gdu-notificatio
    - - - - +¦gnome-panel
    - - - - +¦gnome-power-man
    - - - - +¦nautilus
    - - - - +¦nm-applet
    - - - - +¦polkit-gnome-au
    - - - - +¦python
    - - - - +¦ssh-agent
    - - - - +¦vino-server
    - - - - L¦{gnome-session}
    - - - L¦{gdm-session-wo}
    - - L¦{gdm-simple-sla}
    - L¦{gdm-binary}
    +¦6*[getty]
    +¦gnome-keyring-d¦¦¦2*[{gnome-keyring-}]
    +¦gnome-screensav
    +¦gnome-settings-
    +¦gvfs-afc-volume¦¦¦{gvfs-afc-volum}
    +¦gvfs-fuse-daemo¦¦¦3*[{gvfs-fuse-daem}]
    +¦gvfs-gdu-volume
    +¦gvfs-gphoto2-vo
    +¦gvfsd
    +¦gvfsd-burn
    +¦gvfsd-metadata
    +¦gvfsd-trash
    +¦hald¦T¦hald-runner¦T¦hald-addon-acpi
    - - +¦hald-addon-cpuf
    - - +¦hald-addon-inpu
    - - L¦2*[hald-addon-stor]
    - L¦{hald}
    +¦2*[indicator-apple]
    +¦indicator-appli
    +¦indicator-me-se
    +¦indicator-messa
    +¦indicator-sessi
    +¦indicator-sound
    +¦java¦¦¦28*[{java}]
    +¦lttvxof
    +¦modem-manager
    +¦mysqld¦¦¦16*[{mysqld}]
    +¦notification-ar
    +¦polkitd
    +¦postgres¦¦¦17*[postgres]
    +¦pulseaudio¦T¦gconf-helper
    - L¦2*[{pulseaudio}]
    +¦qjwfknnvg
    +¦rsyslogd¦¦¦2*[{rsyslogd}]
    +¦rtkit-daemon¦¦¦2*[{rtkit-daemon}]
    +¦services.exe¦¦¦2*[{services.exe}]
    +¦siifwtnrwsqv
    +¦sshd¦¦¦sshd¦¦¦bash¦¦¦pstree
    +¦teamviewerd¦T¦TeamViewer.exe¦¦¦3*[{TeamViewer.exe}]
    - L¦7*[{teamviewerd}]
    +¦udevd¦¦¦2*[udevd]
    +¦udisks-daemon¦T¦udisks-daemon
    - L¦{udisks-daemon}
    +¦upowerd
    +¦upstart-udev-br
    +¦vcbitaclvnosem
    +¦vlgbzfkijmh
    +¦wineserver
    +¦wowfacupxxcp¦¦¦2*[{wowfacupxxcp}]
    +¦wpa_supplicant
    +¦wqxqzy
    +¦wsfjicqxajsiq
    +¦xrtihkmasrh
    +¦yijoodpiwc¦¦¦2*[{yijoodpiwc}]
    L¦zdijhnxlyn
    root@smok:~#

  • Poziom 22  
    Serwer odratowany po uruchomieniu w trybie "recovery mode " i usunięciu plików wirusa.
    Skan po tej operacji nie wykazał już zainfekowanych plików i niechcianego ruchu sieciowego

    Dziękuję za pomoc!