Amigos,
Acudo a ustedes buscando una solución a mi problema..
Tengo un Xeon dual 3.2 GB con RedHat Ent. 3, en él estoy usando Apache, MYSQL, server de correo, etc..
Sucede que la carga gral del server esta elevándose demasiado, por ello me da por fijarme si es un ataque, y veo lo siguiente:
Código:
root@server [/tmp]# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | more
386 XX.XX.XX.XX ----------------> IP RIMARIA DEL SERVER
104 24.42.134.253
90 201.247.190.136
67 85.57.5.50
65 217.216.144.66
58 88.14.20.182
58 85.54.231.126
58 81.33.213.96
58 81.231.92.63
56 83.32.70.11
54 83.103.128.166
Son 386 conexiones a Apache desde la IP primaria del server
!!!
Desde el comando netstat veo que las conexiones estan en TIME_WAIT.. el 99% de ellas:
Código:
tcp 0 0 server.myserver:http 22.Red-83-59-187.dyna:10429 TIME_WAIT
tcp 0 0 server.myserver:http 77.Red-83-52-236.dynam:2238 TIME_WAIT
tcp 0 0 server.myserver:http cm16161.red.mundo-r.co:4441 TIME_WAIT
tcp 0 0 server.myserver:http ti200720a080-0340.bb.:53028 TIME_WAIT
tcp 0 0 server.myserver:http 77.Red-83-52-236.dynam:2233 TIME_WAIT
tcp 0 0 server.myserver:http cm16161.red.mundo-r.co:4446 TIME_WAIT
tcp 0 0 server.myserver:http host86-141-166-187.ran:1858 TIME_WAIT
Alguien puede ayudarme en esto ? que tenga idea de porque hay tantas conexiones en TIME_WAIT a la IP primaria ?? Me he fijado y la seguridad del server no ha sido comprometida, pero me resulta muy raro esto..
Algun guru experto q me de una idea
