Me pregunto si hay una brecha de seguridad en mi servidor. Estaba obteniendo una vista previa del archivo /var/log/messages y recibí muchos inicios y cierres de sesión y luego algunos mensajes sobre "resolución de red inalcanzable". Aquí hay una muestra de mis últimas entradas en el archivo de mensajes. Estoy ejecutando Centos 5.1.
Sep 24 10:03:23 ip-184-168-116-73 pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1
Sep 24 10:03:23 ip-184-168-116-73 pure-ftpd: ([email protected]) [INFO] __cpanel__service__auth__ftpd__mYPM6aAnC9051nEC0nS9vPMkaMz34VyA0HXbDApw_0Xan5OW3K9uqnlSAk98PzAq is now logged in
Sep 24 10:03:23 ip-184-168-116-73 pure-ftpd: (__cpanel__service__auth__ftpd__mYPM6aAnC9051nEC0nS9vPMkaMz34VyA0HXbDApw_0Xan5OW3K9uqnlSAk98PzAq@127.0.0.1) [INFO] Logout.
Sep 24 10:08:23 ip-184-168-116-73 pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1
Sep 24 10:08:24 ip-184-168-116-73 pure-ftpd: ([email protected]) [INFO] __cpanel__service__auth__ftpd__qUTJ2NFXeRRKXGjXVbjLQn2upJdGRaSGGSMDQna8wsEINYCTOrWUzxqiJp8rUT0S is now logged in
Sep 24 10:08:24 ip-184-168-116-73 pure-ftpd: (__cpanel__service__auth__ftpd__qUTJ2NFXeRRKXGjXVbjLQn2upJdGRaSGGSMDQna8wsEINYCTOrWUzxqiJp8rUT0S@127.0.0.1) [INFO] Logout.
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: network unreachable resolving 'ns1.expired.r01.ru/A/IN': 2001:678:17:0:193:232:128:6#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: network unreachable resolving 'ns2.expired.r01.ru/A/IN': 2001:678:17:0:193:232:128:6#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: network unreachable resolving 'ns1.expired.r01.ru/AAAA/IN': 2001:678:17:0:193:232:128:6#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: network unreachable resolving 'ns2.expired.r01.ru/AAAA/IN': 2001:678:17:0:193:232:128:6#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: unexpected RCODE (SERVFAIL) resolving 'ns1.internet-spb.ru/A/IN': 109.70.26.37#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: unexpected RCODE (SERVFAIL) resolving 'ns2.internet-spb.ru/A/IN': 109.70.26.37#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: unexpected RCODE (SERVFAIL) resolving 'ns2.internet-spb.ru/AAAA/IN': 109.70.26.37#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: unexpected RCODE (SERVFAIL) resolving 'ns1.internet-spb.ru/AAAA/IN': 109.70.26.37#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: unexpected RCODE (SERVFAIL) resolving 'ns2.internet-spb.ru/A/IN': 194.85.61.76#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: unexpected RCODE (SERVFAIL) resolving 'ns2.internet-spb.ru/AAAA/IN': 194.85.61.76#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: unexpected RCODE (SERVFAIL) resolving 'ns1.internet-spb.ru/A/IN': 194.85.61.76#53
Sep 24 10:09:19 ip-184-168-116-73 named[1502]: unexpected RCODE (SERVFAIL) resolving 'ns1.internet-spb.ru/AAAA/IN': 194.85.61.76#53
Sep 24 10:12:11 ip-184-168-116-73 named[1502]: network unreachable resolving 'ns3.rnc.ro/A/IN': 2001:500:2e::1#53
Sep 24 10:13:25 ip-184-168-116-73 pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1
Sep 24 10:13:25 ip-184-168-116-73 pure-ftpd: ([email protected]) [INFO] __cpanel__service__auth__ftpd__s4ls4qxg3HrWFYi6ICTo0SJvgbJU6DSbALi95PAgNGK2rHENueFdmzXwkXY7GjMj is now logged in
Sep 24 10:13:25 ip-184-168-116-73 pure-ftpd: (__cpanel__service__auth__ftpd__s4ls4qxg3HrWFYi6ICTo0SJvgbJU6DSbALi95PAgNGK2rHENueFdmzXwkXY7GjMj@127.0.0.1) [INFO] Logout.
Sep 24 10:16:15 ip-184-168-116-73 named[1502]: client 199.180.114.183#36635: query (cache) 'cpsc.gov/ANY/IN' denied
Si se trata de un truco, ¿qué configuración debo cambiar para garantizar una mayor seguridad?
Gracias y que Dios los bendiga <><
Respuesta1
Parece que (a) su configuración de IPv6 podría estar funcionando mal y (b) algo está llegando a su casilla (generalmente correo electrónico no deseado), lo que está provocando una búsqueda de DNS en un dominio spam/inexistente que resulta en una falla.
Realmente no hay suficiente información para determinar si estás comprometido. Sin embargo, tenga en cuenta que EL5 solo recibe actualizaciones de mantenimiento ahora... así que en este punto es posible que desee considerar EL7
Además, Centos 5 se encuentra actualmente en la versión 5.11, por lo que si en realidad está en la 5.1 como se sugirió anteriormente, es probable que desee solucionarlo con bastante rapidez.