[Ayuda] otra ayudadota... por favor...

Javier Delgado javierd en paralax.com.mx
Jue Feb 28 12:36:48 CST 2002 

Hola  a ver quien em hecha una manita.

aparentemente mi servidor ha sido victima de una serie de ataques,  o al 
menos de abusos...

estoy aprendiendo a leer las bitacoras y quisiera una manita para entender 
los mensajes:

1. que es lo que resitra el log: "secure"
tiene entradas como esta:

Feb 28 10:57:18 www proftpd[13829]: 208.155.68.9 
(200.36.63.117[200.36.63.117]) - USER daniel: Login successful.
Feb 28 10:57:27 www in.qpopper[13855]: connect from 148.221.195.8
Feb 28 10:58:02 www in.qpopper[13887]: connect from 148.221.195.8
Feb 28 10:58:08 www in.qpopper[13897]: connect from 200.56.242.88

2. en messages tengo centenares de entradas como estas:
Feb 28 04:41:20 www named[398]: ns_forw: 
query(99.96.216.242.208.in-addr.arpa) All possible A RR's lame
Feb 28 04:41:23 www named[398]: Lame server on '3.120.27.208.in-addr.arpa' 
(in '120.27.208.in-addr.arpa'?): [205.244.200.3].53 'ns1.sprintsvc.net'
Feb 28 04:41:23 www named[398]: Lame server on '3.120.27.208.in-addr.arpa' 
(in '120.27.208.in-addr.arpa'?): [206.105.201.35].53 'ns2.sprintsvc.net'
Feb 28 04:41:24 www named[398]: Lame server on '90.86.44.208.in-addr.arpa' 
(in '86.44.208.in-addr.arpa'?): [152.149.80.3].53 'ns.daewoo.com'
Feb 28 04:41:24 www named[398]: Lame server on '182.212.67.65.in-addr.arpa' 
(in '212.67.65.in-addr.arpa'?): [151.164.1.7].53 'ns2.swbell.net'
Feb 28 04:41:24 www named[398]: Lame server on '182.212.67.65.in-addr.arpa' 
(in '212.67.65.in-addr.arpa'?): [151.164.1.1].53 'ns1.swbell.net'

3. Estan usando mi servodor para SPAM, incluso ya recibi una reporte.
Active la opcion de "pop before smpte", pero desde que la active se ha 
caido dos veces el servidor de correos y creo que aun no ha bloqueado el 
spam...

del log maillog puedo ver algunos de estoms emnsajes:
Feb 27 21:06:22 www sendmail[774]: XAA18371: to=<grayghst en blueskyweb.com>, 
delay=1+22:03:37, xdelay=00:13:09, mailer=esmtp, relay=blueskyweb.com. 
[169.132.43.187], stat=Deferred: Connection timed out with blueskyweb.com.
Feb 27 21:06:27 www sendmail[774]: XAA18371: to=<grayghst en compugraph.com>, 
delay=1+22:03:42, xdelay=00:00:05, mailer=esmtp, relay=compugraph.com. 
[64.113.194.6], stat=Deferred: Connection refused by compugraph.com.
www sendmail[774]: VAA11650: 
to=<gpegg en mesoscale.meteo.mcgill.ca>,<gpeggg en mesoscale.meteo.mcgill.ca>, 
delay=2+00:40:23, xdelay=00:13:09, mailer=esmtp, 
relay=mesoscale.meteo.mcgill.ca. [132.206.43.6], stat=Deferred: Connection 
timed out with mesoscale.meteo.mcgill.ca.
Feb 27 22:01:05 www sendmail[774]: VAA11650: to=<gpegg en pld.net>, 
delay=2+00:40:23, xdelay=00:00:00, mailer=esmtp, relay=mx.pld.net., 
stat=Deferred: Connection timed out with mx.pld.net.
Feb 27 22:01:05 www sendmail[774]: VAA11650: 
to=<gpegg en striker.ottawa.on.ca>, delay=2+00:40:23, xdelay=00:00:00, 
mailer=esmtp, relay=mail.striker.ottawa.on.ca., stat=Deferred: Connection 
refused by mail.striker.ottawa.on.ca.
Feb 27 22:01:08 www sendmail[774]: VAA11650: to=<gpegg en web-cyat.com>, 
delay=2+00:40:26, xdelay=00:00:03, mailer=esmtp, relay=01.web-cyat.com. 
[204.68.200.221], stat=Deferred: No route to host
Feb 27 22:01:08 www sendmail[774]: VAA11650: to=<gpegg en web-fx.net>, 
delay=2+00:40:26, xdelay=00:00:00, mailer=esmtp, relay=mail.web-fx.net. 
[216.184.142.3], stat=Deferred: No route to host
Feb 27 22:01:14 www sendmail[774]: VAA11650: to=<gpegg en webrix.net>, 
delay=2+00:40:32, xdelay=00:00:06, mailer=esmtp, relay=00.webrix.net. 
[204.68.200.221], stat=Deferred: No route to host

(los reconosco porque todos empeizan con "G")


4. Como puedo saber que esta corriendo en el servidor y cuantos redursos usa?
anoche me reporto que estaba usando 250 mb de memoria, enc ontr delos 64 
que usa normalmente... y me da mala espina...

el servidos no tiene nada fuera de lo comun, apache, sendmail, webalizer, 
proftp, majordomo, ssh y alguns scripts en perl...

ojala me peudan hecha una mano

Javier

nota:
es linux slackware,  en un raq3 de SUN


Paralax Multimedia
www.paralax.com.mx
Interactivos, kioscos, sites, web hosting, video 3d, animacion 3d, anaglifos
tel 5373 3620  y  5363 4953
Naucalpan de Juarez, Edo. Mex.

tambien visite:
http://www.kaliman.com.mx
http://www.paralax.com.mx/javier

_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx

Más información sobre la lista de distribución Ayuda