IP Scan na porta 80 (X_X)
Tem uma coisa que ta me intrigando...
meu server de repente começou a scanear na porta 80 vários ips seguidos...ele vai somando semrpe +1 ao numero final do IP.... deêm um look... eu só ainda não cosnegui descobrir qual processo está fazendo isso... parei quase todos mas ainda continua fazendo...
http://projetos.unimetalcoque.com.br/iptraf.txt
detalhe que o IP semrpe começa com 200.21.*.* e vai subindo....
IP Scan na porta 80 (X_X)
o pitza, dá um netstat --inet -nap e vê ese ele mostra o aplicativo que está fazendo isso.
IP Scan na porta 80 (X_X)
Atrás desse server , tem quantas maquina clientes ? pode ser até um terminal gerando isso, com um virus ou coisa do tipo.
IP Scan na porta 80 (X_X)
vc chegou a desabilitar o ip_forward?
IP Scan na porta 80 (X_X)
Experimente executar o lsof para identificar os arquivos abertos.
Além disso, procure executar o chrootkit para indentificar um possível rootkit na sua máquina.
[]´s
Marcos Pitanga
IP Scan na porta 80 (X_X)
Veio roda o chkrootkit, porque se for um rootkit escroto, ele sobreescreve ls, ps, pstree, lsof, com umas versões que ocultam ele proprio rodando, então nesse não tem mesmo como você saber só dando um "ps".
O interessante é que também no caso de sobrescrever o ls, ele grava umas versões antigas, caso você der ls no /lib por exemplo, os links simbolicos estarão "estranhos" parecendo hardlinks, e em alguns casos se você der 'ls" em diretorios com arquivos maiores que 4gb, ele da erro, ai você pode pegar o safado.
Verifica tambem teu /etc/rc.local ou rc.sysinit em busca de algo estranho.
flow