[U-co] Negación del servicio Ubuntu 8.04

Carlos Fajardo carlos.fajardo en gmail.com
Vie Mar 18 20:56:45 UTC 2011


On 03/15/2011 12:20 PM, Luis Carlos Díaz Otero wrote:
> Gracias por tu respuesta.
>
> Problema de firewall no es: los puertos requeridos se encuentran abiertos. Además, no es un problema recurrente, ocurre en el momento menos pensado.  Pensando también la posibilidad de defecto físico en la tarjeta, ya intercambiamos cables y direcciones ip entre las tarjetas (la local pasó a pública y viceversa) y el problema no se resolvió: las dos tarjetas están incorporadas en la board del servidor (Proliant DL 380G6).
>
> Alguien me dijo que hiciese la prueba, poniendo una tarjeta de red PCI diferente de las dos incorporadas y asignarle a esa la ip pública, por lo que tal vez sea esa otra alternativa a examinar
>
>  
> Cordial saludo: 
>
> Luis Carlos Díaz Otero
>
>
> ________________________________
>
> Hay 10 clases de personas en el mundo: las que saben de números binarios y las que no
>
> ________________________________
>
> Asesoramos y acompañamos su presentación de tareas y trabajos de matemáticas:
> http://www.facebook.com/pages/Asesorias-Matematicas/142808622433724?created
>
>  
>  
>
>
> ________________________________
> De: Ivan Dario Duarte Brito <ingidu en gmail.com>
> Para: Ubuntu Colombia <ubuntu-co en lists.ubuntu.com>
> Enviado: martes, marzo 15, 2011 11:28 A.M.
> Asunto: Re: [U-co] Negación del servicio Ubuntu 8.04
>
> Ya revisaste la configuración del firewall, es decir que podría estar
> bloqueando los puertos de conexión para el ssh y haciendo un DROP a las
> peticiones ICMP, lo otro podría ser un problema físico de la tarjeta de red,
> por lo que deberías descartar también esa posibilidad.
>
> El 15 de marzo de 2011 09:31, Luis Carlos Díaz Otero
> <lucadiote en yahoo.com>escribió:
>
>> Buenos días a todos los compañeros de la lista.
>>
>> Nuestro servidor UBUNTU 8.04, cuenta con dos tarjetas de red: una por la
>> cual se fectúan las conexiones de los equipos conectados a la red local y
>> otra con una ip pública, por la cual se conectan los usuarios ubicados por
>> fuera de la LAN. Todas las conexiones (locales y remotas) se hacen vía ssh
>> (putty en los equipos Windows).
>>
>> No hemos tenido ningún problema, salvo el hecho de que eventualmente la
>> tarjeta con ip pública niega cualquier tipo de conexión a élla (ni siquiera
>> responde a ping). Los logs del sistema no me dicen nada que me sea útil y
>> hasta ahora, la única forma que hemos encontrado para resolver el problema,
>> ha sido, reiniciar la máquina, lo cujal desde luego, no es lo deseable.
>>
>> Qué puede estar ocurriendo?. De antemano muchas gracias.
>>
>>
>> Cordial saludo:
>>
>> Luis Carlos Díaz Otero
>>
>>
>> ________________________________
>>
>> Hay 10 clases de personas en el mundo: las que saben de números binarios y
>> las que no
>>
>> ________________________________
>>
>>
>>
>> --
>> Al escribir recuerde observar la etiqueta (normas) de esta lista:
>> http://ur1.ca/0uf7
>> Para cambiar su inscripción, vaya a "Cambio de opciones" en
>> http://ur1.ca/0uf9
>>
>
>
Hola,

Algunas ideas:

revisaste /var/log/auth.log ? Suena obvio pero... modificaste el puerto
del servicio SSH? o desde internet se llega a tu server por puerto 22?
si no lo has hecho, es probable que tengas un ataque de fuerza bruta
sobre el servicio SSH. Se modifica en: /etc/ssh/sshd_config Descomentas
la linea Port, escoges un puerto alto, verificas que el firewall/router
y demás dejen llegar a ese puerto, reinicias el servicio y listo.

La segunda idea: Miraste si HP provee un Proliant Support Pack? El 3 de
marzo salió la versión 8.63 . Lo uso en RedHat/Centos y provee drivers y
herramientas de monitoreo y diagnóstico específicas para estos servers
pero... no tengo ningun DL o ML con Ubuntu asi que no sé si el mismo
paquete sirve para Ubuntu, tal vez sea necesario usar alien... no se si
tambien este disponible para Ubuntu... En fin, en RedHat o Centos es muy
util.
(http://h20000.www2.hp.com/bizsupport/TechSupport/DriverDownload.jsp?prodNameId=3716247&lang=es&cc=ve&taskId=135&prodTypeId=18964&prodSeriesId=3716246
<http://h20000.www2.hp.com/bizsupport/TechSupport/DriverDownload.jsp?prodNameId=3716247&lang=es&cc=ve&taskId=135&prodTypeId=18964&prodSeriesId=3716246>)

El otro factor puede ser firmware, asi que primero hay que actualizarlo.

También puedes buscar los paquetes de diagnóstico de HP para esa máquina
y testear la tarjeta.

La última idea seria mirar lo obvio, hubo cambios en la configuración?
podrías compartir la salida de:

netstat -rn (para mirar rutas)

ifconfig (para mirar configuración ip)

nm-tool (espero no tengas modo gráfico, la presencia de network manager
en un server pude causar muchos lios, así que espero que te diga que no
tienes instalado este paquete. Si el paquete está, retíralo y configura
tus parámetros de red en /etc/network/interfaces; ese podría ser tu
problema)

Ahora, si todo lo anterior esta cubierto, miremos mas a fondo..

Al momento de la falla seria valioso conocer la tabla arp y un
traceroute a una dirección externa nos contaría por donde se van los
paquetes:

arp -a

traceroute www.google.com (si hay firewall instala y usa tcptraceroute)

También al momento de la falla podrías mirar que puertos están en uso y
con quien:

lsof -i -n -P  (para descartar lo del ataque)

Finalmente, miremos los drivers que usas:

ethtool eth0 (o la eth que tengas configurada)

lshw -C network

lspci

lsmod ( si ves mas de un driver en la tarjeta, prueba colocando el
primero en lista negra: /etc/modprobe.d/blacklist )



Bien, creo que con todo esto ya tienes para divertirte y si nada
funciona, el siguiente mensaje a la lista aportará mas información y
podremos entre todos acotar el origen del problema.

Por cierto, la mayoria de los comandos citados en este mail requieren
sudo,  :) y seria bueno actualizar ese server a una versión reciente.

Buena suerte.


-- 
Carlos Fajardo
Linux User: #217273
Ubuntu User: #6606
Oficial de Seguridad de la Información
Administrador de Sistemas












Más información sobre la lista de distribución Ubuntu-co