Virus Scanning: Denial Of Service attack detected! MailScanner

Todos los comentarios sobre redes y servidores en linux y su interacción con otros sistemas operativos.

Moderadores: doc, Kde_Tony, ps-ax

Responder
Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Virus Scanning: Denial Of Service attack detected! MailScanner

Mensaje por Hereter » Mié Abr 18, 2012 1:09 am

Hola gente les cuento:
Empece a notar que el servidor de mail un RHEL5 que usa sendmail + ClamAv + MailScanner por momentos utilizaba toda la RAM, y despues toda la SWAP, acto seguido entraba en panico, mataba procesos y se volvia hiperlento. Mirando los logs me encuentro con lo siguiente:

maillog
Apr 17 11:38:50 mail2 MailScanner[17529]: Commercial scanner clamav timed out!
Apr 17 11:38:51 mail2 MailScanner[17529]: clamav: Failed to complete, timed out
Apr 17 11:38:51 mail2 MailScanner[17529]: Virus Scanning: Denial Of Service attack detected!
Apr 17 11:38:50 mail2 MailScanner[18234]: Commercial scanner clamav timed out!
Apr 17 11:38:51 mail2 MailScanner[18234]: clamav: Failed to complete, timed out
Apr 17 11:38:51 mail2 MailScanner[18234]: Virus Scanning: Denial Of Service attack detected!
Apr 17 11:38:45 mail2 sendmail[3069]: rejecting connections on daemon Daemon0: load average: 55


messages
Apr 17 11:38:52 mail2 MailScanner: waiting for children to die: Process did not exit cleanly, returned 255 with signal 0
Apr 17 11:40:54 mail2 MailScanner: waiting for children to die: Process did not exit cleanly, returned 12 with signal 0
Apr 17 11:53:55 mail2 kernel: sendmail invoked oom-killer: gfp_mask=0x201d2, order=0, oomkilladj=0
Apr 17 11:53:55 mail2 kernel: [<c0459c39>] out_of_memory+0x72/0x1a5
Apr 17 11:53:55 mail2 kernel: [<c045b10e>] __alloc_pages+0x216/0x297
Apr 17 11:53:55 mail2 kernel: [<c045c37b>] __do_page_cache_readahead+0xc4/0x1c6
Apr 17 11:53:55 mail2 kernel: [<c04591eb>] filemap_nopage+0x151/0x312
Apr 17 11:53:55 mail2 kernel: [<c0462036>] __handle_mm_fault+0x178/0x8e6
Apr 17 11:53:55 mail2 kernel: [<c060e7bd>] schedule+0x9c9/0xa52
Apr 17 11:53:55 mail2 kernel: [<c0610fac>] do_page_fault+0x22b/0x4d9
Apr 17 11:53:55 mail2 kernel: [<c0610d81>] do_page_fault+0x0/0x4d9
Apr 17 11:53:55 mail2 kernel: [<c0405a89>] error_code+0x39/0x40
Apr 17 11:53:55 mail2 kernel: =======================



a alguien le paso alguna vez? alguien tiene idea de como solucionarlo?

Desde ya Gracias.
Avatar de Usuario
Hawkingsagan
Administrador
Administrador
Mensajes: 4190
Registrado: Mié May 12, 2004 7:00 am
Ubicación: México.
Contactar:

Re: Virus Scanning: Denial Of Service attack detected! MailScanner

Mensaje por Hawkingsagan » Mié Jun 06, 2012 1:47 am

Los ataques de denegacion de servicio comunmente utilizan multiples puertos abiertos en tu servidor, instala nmap con alguna GUI si no estas familiarizado con la consola, para detectar las vulnerabilidades y puertos abiertos de tu server y corregirlos.
Linux User # 394644
Distros: Ubuntu Server, Ubuntu Desktop, Linux Mint y Open Mandriva
Twitter:@hawkingsagan
Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Virus Scanning: Denial Of Service attack detected! MailScanner

Mensaje por Hereter » Vie Jun 08, 2012 4:20 pm

hola, el servidor tiene abiertos solamente los puertos 22 (ssh), 110 (POP3), 25 (SMTP), 443 (https) y 10000 (webmin) para la red local, aparte de esto con un firewall que funciona como gateway solo están permitidas las conexiones externas en el puerto 25 y 443.

El problema parecería estar dándose con el Apache, ya que cuando se sobrecarga el sistema hago un reinicio del servicio httpd y el consumo de memoria disminuye a menos de la mitad, por ahora lo tengo andado haciendo que el httpd se reinicie cada una hora, mientras tanto estoy montando un servidor nuevo con postfix.
Tanto yo como otro admin con mas experiencia no pudimos identificar la problemática exacta.

Desde ya gracias-
Avatar de Usuario
Kde_Tony
Moderador
Moderador
Mensajes: 3866
Registrado: Mié Jul 20, 2005 7:00 am
Ubicación: /home/Peru/Lima/La Molina
Contactar:

Re: Virus Scanning: Denial Of Service attack detected! MailScanner

Mensaje por Kde_Tony » Mar Jun 19, 2012 6:39 pm

mmm... parace que te quieren bombardear con SPAM, revisa en el log de tu Firewall si hay peticiones al puerto 25 y 80 de cualquier servicio que tengas publicado en internet.

Sls
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------
Avatar de Usuario
Hawkingsagan
Administrador
Administrador
Mensajes: 4190
Registrado: Mié May 12, 2004 7:00 am
Ubicación: México.
Contactar:

Re: Virus Scanning: Denial Of Service attack detected! MailScanner

Mensaje por Hawkingsagan » Mar Jun 19, 2012 6:46 pm

Si no te ocasiona algún inconveniente, ¿podrias postear la ip de tu servidor para hacerle un mapeo de forma externa?
Linux User # 394644
Distros: Ubuntu Server, Ubuntu Desktop, Linux Mint y Open Mandriva
Twitter:@hawkingsagan
Avatar de Usuario
Kde_Tony
Moderador
Moderador
Mensajes: 3866
Registrado: Mié Jul 20, 2005 7:00 am
Ubicación: /home/Peru/Lima/La Molina
Contactar:

Re: Virus Scanning: Denial Of Service attack detected! MailScanner

Mensaje por Kde_Tony » Mar Jun 19, 2012 6:47 pm

jajaja... ese calex78 quiere andar de "juacker" .... jajajajaa
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------
Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Virus Scanning: Denial Of Service attack detected! MailScanner

Mensaje por Hereter » Mar Jun 19, 2012 6:52 pm

Gracias Kde, en breve me estoy fijando.
Calex no me parece apropiado publicar la ip del servidor en cuestion.
Avatar de Usuario
Hawkingsagan
Administrador
Administrador
Mensajes: 4190
Registrado: Mié May 12, 2004 7:00 am
Ubicación: México.
Contactar:

Re: Virus Scanning: Denial Of Service attack detected! MailScanner

Mensaje por Hawkingsagan » Mar Jun 19, 2012 7:39 pm

tony escribió:jajaja... ese calex78 quiere andar de "juacker" .... jajajajaa
Na jajaja, realmente lo quería ayudar, pero en fin.
Hereter escribió:Gracias Kde, en breve me estoy fijando.
Calex no me parece apropiado publicar la ip del servidor en cuestion.
Entiendo tus razones, aunque con que tu server este online aun disfrazado con un nombre de dominio es suficiente para saber la ip y el atacante puede seguir infinitamente si ustedes como administradores no detectan el verdadero problema, xD de todos modos suerte con tu servidor y ojala solucionen su problema.

Saludos.
Linux User # 394644
Distros: Ubuntu Server, Ubuntu Desktop, Linux Mint y Open Mandriva
Twitter:@hawkingsagan
Hereter
Forista Menor
Forista Menor
Mensajes: 94
Registrado: Vie Ene 15, 2010 8:09 pm

Re: Virus Scanning: Denial Of Service attack detected! MailScanner

Mensaje por Hereter » Mar Jun 19, 2012 9:21 pm

si por supuesto que si....gracias
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje