Recientemente uno de mis servidores presentó una falla, siendo un equipo de Virtualización (http://pve.proxmox.com/) todas las máquinas virtuales (MV) que allí prestaban servicio se vieron afectadas en cuanto a comunicación, muy parecido a un DoS.
Haciendo referencia a uno de mis artículos previos (http://dgamez-ldp.blogspot.com/2009/04/tecnologia-virus-en-gnulinux.html) este caso se trataba de un hack a mi servidor, que fue posible gracias a que una de las MV poseía una clave muy débil, dado que se trataba de un servidor laboratorio para pruebas.
El log del sistema mostraba el retorno todos los paquetes TCP que llegaban al servidor provocando que ningún servicio pudiera ser accedido. Reiniciaba el servidor y el problema persistía, igualmente detenía los servicios de red y liberaba las reglas iptables, pero al iniciarlos nuevamente los servicios continuaban inalcanzables.
El hecho es que en el sistema operativo base que en este caso se trataba de Debian 5.0.7 Lenny, fue instalado un servicio llamado ipmasq, el cual permite crear reglas iptables en el arranque del sistema; por tanto no importaba si inclusive reiniciaba el sistema, las reglas seguían cargando automáticamente en el arranque.
Una vez que modifiqué las reglas que rechazaban cualquier paquete TCP de entrada, fué posible acceder a cualquiera de los servicios nuevamente.
Una descripción mas detallada del tema se encuentra en el artículo que subí al Foro del producto de virtualización utilizado. http://forum.proxmox.com/threads/5975-Connectivity-Problem
Esto como ven, es un ejemplo factible de ataques a servidores con SO GNU/Linux, sin embargo, es fácil de detectar y aplicar los correctivos, gracias a que podemos visualizar cualquier actividad en los logs y tenemos noción de cualquiera de los procesos en ejecución.
