Serviço JBOSS e IP Desconhecido

Tem alguma questão não relacionada com FreeBSD, ou quer apenas bater um papo sobre qualquer coisa não relacionada com ele? Este é o fórum para você.

Serviço JBOSS e IP Desconhecido

Mensagempor ricardomoscou » 22/Mar/2013 11:48

Aos amigos da lista,

Estou com um processo JBOSS consumindo muito ciclos de CPU.
Olhando a saida do 'top', vejo que tenho 40% de CPU livre.
Olhando o consumo de CPU por cada processo, vejo que embora tenha 40% de CPU livre, somente o processo JBOSS consome de 150 a 350% de CPU (quando olho a coluna CPU do comando top).
Memória temos de sobra.
Swap, praticamente nunca foi usado.
Estamos tendo reclamações de lentidão no JBOSS e não acho que seja falta de recursos no sistema.
Existe um histórico aqui na empresa de um rootkit que foi detectado em um outro servidor JBOSS um tempo atrás e foi resolvido.
Com base nisso, resolvi então olhar as conexões estabelecidas com este servidor via comando netstat.
Como não conheço de JBOSS e temos este histórico, passei a dar atenção para um possível ataque ou algo do tipo.
Olhando os IPs com conexões estabelecidas, identifiquei um IP que não consta nos registros do DHCP (192.168.1.7).
Ping, arping, nmap e qualquer outra coisa só retorna host down.

Resolvi olhar o processo do JBOSS com o netstat para ver quais conexões estavam abertas com o JBOSS.
Quando faço isso tenho dentre varias saídas, a saída abaixo mostrando o IP 192.168.1.7. Vejam:

[root@app ~]# netstat -at | fgrep '192.168.1.7'
tcp 0 0 app.jboss.org.br:59806 ::ffff:192.168.1.7:ncube-lm ESTABELECIDA
tcp 0 0 app.jboss.org.br:59895 ::ffff:192.168.1.7:ncube-lm ESTABELECIDA
tcp 0 0 app.jboss.org.br:58152 ::ffff:192.168.1.7:ncube-lm ESTABELECIDA

Embora não exista máquina com o IP 192.168.1.7, este IP aparece como um IPv6.

Não acredito mais (depois dos testes) que realmente exista uma conexão estabelecida por alguma máquina na rede local ou externa com o JBOSS.
O que acredito é que de alguma forma (e eu não sei como), esta máquina que roda o JBOSS (app.jboss.org.br) esta rodando algo que gera este IP.

Ifconfig -a só me reporta a existência de 2 interfaces de rede. Uma com o IP da máquina JBOSS (192.168.1.80) e a outra interface sem IP configurado.
Regras de firewall dando um drop neste IP 192.168.17 também já foram colocadas e nada adiantou. O JBOSS continua consumindo ciclos de CPU em grande escala e a aplicação continua lenta.

Algum amigo da lista poderiam me dar alguma orientação/direção?
Não sei se estou perdendo tempo no alvo errado.


Abraços,




Ricardo F. Moscou
ricardomoscou
Membro
 
Mensagens: 4
Registrado em: 21/Mar/2013 22:21

Voltar para Off-Topic

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 3 visitantes