Alteração do /proc/sys/net/ipv4/ip_forward de 1 para 0 sem que seja solicitado.

[wldutra]

Olá Amigos,

Neste dias algo esquisito tem acontecido com alguns dos servidores que administro.

Estes servidores estão configurados para quando subirem o sistema operacional eles setarem echo 1 > /proc/sys/net/ipv4/ip_forward.

Desta forma realizam forward a partir do momento que inicializam.

No entanto, de alguns dias para cá, do nada o acesso a Internet fica indisponivel para os usuários, o servidor deixa de relizar forwar pois é setado "0" em /proc/sys/net/ipv4/ip_forward.

Assim tenho que setar novamente echo 1 > /proc/sys/net/ipv4/ip_forward para que retorne o acesso a Internet.

Amigos, ja aconteceu isso com voces? Qual é a solução para este problema?

Grato,

Weriston
Cuiabá-MT

[cianetmidia]

Verifica se não tem nenhuma tarefa cron fazendo isso e troque a senha do root urgente

[wldutra]

Rapaz... É de se desesperar, estou com três servidores nesta situação e cada dia mais queimado com os usuários.

Busquei tarefa agendada no crom, mudei a senha do root, tirei o acesso como root, mudei as permissões do arquivo  /proc/sys/net/ipv4/ip_forward  e por fim formatei e instalei outro sistema ( ubuntu server da mesma versão ), mas persiste a bomba.

Amanhã vou instalar a versão mais nova do ubuntu server ( a que estava usando é a 10.04 ), acabei de baixar uma ISO do Ubuntu Server 11.10.

Sou fã do Ubuntu, não quero mudar de distribuição, mas estou no maior sufoco...

 

Vamos ver o que vai dar amanhã. Antes das 7:00 vou formatar e instalar o 11.10 e ver no que vai dar.

Abraço a todos,

Conto com os nossos amigos.

Até Sempre!

[zekkerj]

Olá wldutra,

Se vc reinicia o servidor, nessa hora, o acesso retorna?

Existe mais alguma pessoa com acesso de administrador em seu servidor?

Você sabe que esse controle pode ser feito também no arquivo /etc/sysctl.conf, certo?

Você instalou algum sistema, programa ou atualização recentemente?

[wldutra]

Amigos antes de tudo obrigado pela força.

Certamente estou sofredo ataques, pois resolvido o problema do 0 e 1 agora as maquinas estão deligando do nada.

[zekkerj]

Sobre as perguntas que eu fiz antes, vc pode respondê-las?

Outras perguntas importantes:
1. Seu sistema está com a senha de root definida, ou o root está acessível apenas pelo sudo?
2. O acesso remoto ao sistema está ativo?
3. Quais são os usuários que estão definidos em seu sistema? Qual o nível de acesso que eles têm?
4. Você já consultou o log de acesso (/var/log/auth.log) pra ver se há registro de acessos não planejados?
5. Essas máquinas estão colocadas em um lugar onde têm segurança física? Sem segurança física, não há como garantir segurança lógica pras máquinas.

[wldutra]

Olá a todos,

Amigo zekkerj, primeiramente muito obrigado, principalmente pelas quase 9.000 mensagens aqui no forum que por diversas vezes nos serviram. É uma hora teclar com V. Sa.

Sobre as perguntas ( e reflexões )...

1. Seu sistema está com a senha de root definida, ou o root está acessível apenas pelo sudo?
A senha esta definida para o usuário root e é relativamente boa, envolve letras minusculas e maiúsculas.

2. O acesso remoto ao sistema está ativo?
Sim

3. Quais são os usuários que estão definidos em seu sistema? Qual o nível de acesso que eles têm?
No sistema ha dois usuários ( acho ) o meu e o do root. Ja li que os sitemas unix/like trazem outros usuários padrão não habilitados, não sei verificar isso.

4. Você já consultou o log de acesso (/var/log/auth.log) pra ver se há registro de acessos não planejados?
Ainda não havia consultado, vou analisar estes logs com carinho.

5. Essas máquinas estão colocadas em um lugar onde têm segurança física? Sem segurança física, não há como garantir segurança lógica pras máquinas.
Há segurança física no local, no mais não ha teclado e monitores de vídeos para acesso. Inclusive para acessar ao servidor diretamente é necessário um adaptador de teclado e monitor.

Grato.

[zekkerj]

1. Seu sistema está com a senha de root definida, ou o root está acessível apenas pelo sudo?
A senha esta definida para o usuário root e é relativamente boa, envolve letras minusculas e maiúsculas.

Hmmm. Não gosto muito dessa situação... o Ubuntu foi todo planejado para não ter senha de root, e todo o acesso ser feito apenas via sudo.
De qualquer forma, você tem que trabalhar desde já com a idéia de que essa senha foi comprometida.

2. O acesso remoto ao sistema está ativo?
Sim

Bom, pelo menos o acesso remoto direto ao usuário root está bloqueado, não?

3. Quais são os usuários que estão definidos em seu sistema? Qual o nível de acesso que eles têm?
No sistema ha dois usuários ( acho ) o meu e o do root. Ja li que os sitemas unix/like trazem outros usuários padrão não habilitados, não sei verificar isso.

Você pode consultar o arquivo /etc/passwd. Os usuários comuns são criados com UID >= 1000. Usuários com UID < 500 são usuários de sistema, e normalmente não podem ter acesso liberado.

Se você olhar o arquivo /etc/shadow (comando p/ conferir: "sudo vipw -s"), poderá confirmar se algum desses usuários tem senha definida (segundo campo diferente de "*").

Talvez fosse o caso também de instalar algum programa como o rkhunter --- já que já estamos trabalhando com a possibilidade de invasão --- em busca de possíveis backdoors que seu desafeto tenha deixado.