+ Responder ao Tópico



  1. 07-12-2005, 09:45 #1
    AndersonMachado
    AndersonMachado está desconectado
    Avatar de AndersonMachado
    Ingresso
    Oct 2005
    Posts
    163

    Padrão Trafego UDP ALTO no fedora derruba a rede

    Estou tendo problemas com um Fedora Core 4 rodando o kernel 2.6.13-1.1532_FC4.

    esse servidor roda : qmail + mysql + named + apache

    Simplesmente do nada a maquina cola a CPU e ainda deruba meu router tentando enviar pacotes UDP para vários IP´s.

    1 ) Pesquisando com o top, achei o processo que estava ocupando a maquina :

    98 % de uso !!!

    32330 apache 25 0 4172 2280 1544 R 97.8 0.2 243:03.39 perl

    2 ) Usando o "ps aux" achei isso :

    apache 32330 98.1 0.2 4172 2280 ? R 03:50 240:52 Tr0x

    2 ) Usando o netstat -aup identifiquei :

    udp 0 0 0.0.0.0:329882 0.0.0.0:*

    4 ) Quando dei um "kill -9 32330"

    o problema de ocupação da CPU e trafego UDP parou de acontecer.


    5 ) Alguem sabe de alguma falha de seguranca que possa estar ocasionando isso ?

    alguem sabe o que é Tr0x


    ------------------

    Alguns log´s


    No tcpdump ->

    07:44:23.490943 IP 200.xxx.xxx.xxx.39882 > 200.217.225.96.37794: UDP, length 1
    07:44:23.490968 IP 200.xxx.xxx.xxx.39882 > 200.217.225.96.37794: UDP, length 1
    07:44:23.490994 IP 200.xxx.xxx.xxx.39882 > 200.217.225.96.37794: UDP, length 1
    07:44:23.491019 IP 200.xxx.xxx.xxx.39882 > 200.217.225.96.37794: UDP, length 1
    07:44:23.491044 IP 200.xxx.xxx.xxx.39882 > 200.217.225.96.37794: UDP, length 1
    07:44:23.491070 IP 200.xxx.xxx.xxx.39882 > 200.217.225.96.37794: UDP, length 1
    07:44:23.491095 IP 200.xxx.xxx.xxx.39882 > 200.217.225.96.37794: UDP, length 1
    07:44:23.491120 IP 200.xxx.xxx.xxx.39882 > 200.217.225.96.37794: UDP, length 1

    -------------------------------------------------------------------------------


    No iptraf ->

    UDP (29 bytes) from 200.:39882 to 200.217.225.96:37794 on eth0
    UDP (29 bytes) from 200.xxx.xxx.xxx:39882 to 200.217.225.96:37794 on eth0
    UDP (29 bytes) from 200.xxx.xxx.xxx:39882 to 200.217.225.96:37794 on eth0
    UDP (29 bytes) from 200.xxx.xxx.xxx:39882 to 200.217.225.96:37794 on eth0
    UDP (29 bytes) from 200.xxx.xxx.xxx:39882 to 200.217.225.96:37794 on eth0
    UDP (29 bytes) from 200.xxx.xxx.xxx:39882 to 200.217.225.96:37794 on eth0
    UDP (29 bytes) from 200.xxx.xxx.xxx:39882 to 200.217.225.96:37794 on eth0
    UDP (29 bytes) from 200.xxx.xxx.xxx:39882 to 200.217.225.96:37794 on eth0

    -------------------------------------------------------------------------------


    No ps aux ->

    apache 32330 98.1 0.2 4172 2280 ? R 03:50 240:52 Tr0x

    -------------------------------------------------------------------------------

    No top -->

    PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
    32330 apache 25 0 4172 2280 1544 R 97.8 0.2 243:03.39 perl
    Citação Citação
  2. 07-12-2005, 10:10 #2
    evandrofisico
    evandrofisico está desconectado
    Ingresso
    Aug 2005
    Posts
    634

    Padrão Trafego UDP ALTO no fedora derruba a rede

    cara, tenta achar onde tá esse tal de tr0x, tá com cara que alguem escreveu uma parada maligna em perl e o seu servidor está comprometido. Tente usar um rootkit scanner da vida pra ver o que ele dis, parece que usaram uma vulnerabilidade do apache para executar código malicioso na sua máquina, esse comportamento de ficar mandando pacotes para toda a rede parece coisa de worm tentando se espalhar
    Citação Citação



« Tópico Anterior | Próximo Tópico »