Serviço JBOSS e IP Desconhecido
Enviado: 22/Mar/2013 11:48Aos amigos da lista,
Estou com um processo JBOSS consumindo muito ciclos de CPU.
Olhando a saida do 'top', vejo que tenho 40% de CPU livre.
Olhando o consumo de CPU por cada processo, vejo que embora tenha 40% de CPU livre, somente o processo JBOSS consome de 150 a 350% de CPU (quando olho a coluna CPU do comando top).
Memória temos de sobra.
Swap, praticamente nunca foi usado.
Estamos tendo reclamações de lentidão no JBOSS e não acho que seja falta de recursos no sistema.
Existe um histórico aqui na empresa de um rootkit que foi detectado em um outro servidor JBOSS um tempo atrás e foi resolvido.
Com base nisso, resolvi então olhar as conexões estabelecidas com este servidor via comando netstat.
Como não conheço de JBOSS e temos este histórico, passei a dar atenção para um possÃvel ataque ou algo do tipo.
Olhando os IPs com conexões estabelecidas, identifiquei um IP que não consta nos registros do DHCP (192.168.1.7).
Ping, arping, nmap e qualquer outra coisa só retorna host down.
Resolvi olhar o processo do JBOSS com o netstat para ver quais conexões estavam abertas com o JBOSS.
Quando faço isso tenho dentre varias saÃdas, a saÃda abaixo mostrando o IP 192.168.1.7. Vejam:
[root@app ~]# netstat -at | fgrep '192.168.1.7'
tcp 0 0 app.jboss.org.br:59806 ::ffff:192.168.1.7:ncube-lm ESTABELECIDA
tcp 0 0 app.jboss.org.br:59895 ::ffff:192.168.1.7:ncube-lm ESTABELECIDA
tcp 0 0 app.jboss.org.br:58152 ::ffff:192.168.1.7:ncube-lm ESTABELECIDA
Embora não exista máquina com o IP 192.168.1.7, este IP aparece como um IPv6.
Não acredito mais (depois dos testes) que realmente exista uma conexão estabelecida por alguma máquina na rede local ou externa com o JBOSS.
O que acredito é que de alguma forma (e eu não sei como), esta máquina que roda o JBOSS (app.jboss.org.br) esta rodando algo que gera este IP.
Ifconfig -a só me reporta a existência de 2 interfaces de rede. Uma com o IP da máquina JBOSS (192.168.1.80) e a outra interface sem IP configurado.
Regras de firewall dando um drop neste IP 192.168.17 também já foram colocadas e nada adiantou. O JBOSS continua consumindo ciclos de CPU em grande escala e a aplicação continua lenta.
Algum amigo da lista poderiam me dar alguma orientação/direção?
Não sei se estou perdendo tempo no alvo errado.
Abraços,
Ricardo F. Moscou
Estou com um processo JBOSS consumindo muito ciclos de CPU.
Olhando a saida do 'top', vejo que tenho 40% de CPU livre.
Olhando o consumo de CPU por cada processo, vejo que embora tenha 40% de CPU livre, somente o processo JBOSS consome de 150 a 350% de CPU (quando olho a coluna CPU do comando top).
Memória temos de sobra.
Swap, praticamente nunca foi usado.
Estamos tendo reclamações de lentidão no JBOSS e não acho que seja falta de recursos no sistema.
Existe um histórico aqui na empresa de um rootkit que foi detectado em um outro servidor JBOSS um tempo atrás e foi resolvido.
Com base nisso, resolvi então olhar as conexões estabelecidas com este servidor via comando netstat.
Como não conheço de JBOSS e temos este histórico, passei a dar atenção para um possÃvel ataque ou algo do tipo.
Olhando os IPs com conexões estabelecidas, identifiquei um IP que não consta nos registros do DHCP (192.168.1.7).
Ping, arping, nmap e qualquer outra coisa só retorna host down.
Resolvi olhar o processo do JBOSS com o netstat para ver quais conexões estavam abertas com o JBOSS.
Quando faço isso tenho dentre varias saÃdas, a saÃda abaixo mostrando o IP 192.168.1.7. Vejam:
[root@app ~]# netstat -at | fgrep '192.168.1.7'
tcp 0 0 app.jboss.org.br:59806 ::ffff:192.168.1.7:ncube-lm ESTABELECIDA
tcp 0 0 app.jboss.org.br:59895 ::ffff:192.168.1.7:ncube-lm ESTABELECIDA
tcp 0 0 app.jboss.org.br:58152 ::ffff:192.168.1.7:ncube-lm ESTABELECIDA
Embora não exista máquina com o IP 192.168.1.7, este IP aparece como um IPv6.
Não acredito mais (depois dos testes) que realmente exista uma conexão estabelecida por alguma máquina na rede local ou externa com o JBOSS.
O que acredito é que de alguma forma (e eu não sei como), esta máquina que roda o JBOSS (app.jboss.org.br) esta rodando algo que gera este IP.
Ifconfig -a só me reporta a existência de 2 interfaces de rede. Uma com o IP da máquina JBOSS (192.168.1.80) e a outra interface sem IP configurado.
Regras de firewall dando um drop neste IP 192.168.17 também já foram colocadas e nada adiantou. O JBOSS continua consumindo ciclos de CPU em grande escala e a aplicação continua lenta.
Algum amigo da lista poderiam me dar alguma orientação/direção?
Não sei se estou perdendo tempo no alvo errado.
Abraços,
Ricardo F. Moscou