Ayuda con logs del sistema…



  • Que tal a todos en el foro.  Tengo unos problemas con mi servidor, hace unos momentos se me fue la navegación por internet y me puse a checar rápidamente en el sistema que pudo fallar, por un momento pensé que la conexión del modem se cayó pero no fue así.

    Checando en los logs del sistema encontré, esto:

    nginx: 2016/06/22 13:32:38 [error] 51803#0: *2062 open() "/usr/local/www/libraries/nextend2/smartslider/media/plugins/widgetarrow/image/image/next/normal.svg" failed (2: No such file or directory), client: ::1, server: , request: "GET /libraries/nextend2/smartslider/media/plugins/widgetarrow/image/image/next/normal.svg HTTP/1.1", host: "localhost", referrer: "http://portal.tapachula.gob.mx/"

    Lo que me llama la atención por lo raro del mensaje, y así aparecen fácil como 30 o más mensajes iguales a diferentes archivos en la misma ruta en un intervalo de tiempo muy corto.

    Si pensamos mal, diría que es un tipo de ataque a mi servidor.

    Alguien que pueda echarme una luz al respecto y/o de cómo asegurar mi servidor para evitar este tipo de ataques?

    Saludos  >:(



  • Siguen los logs del sistema…

    nginx: 2016/06/22 15:00:36 [error] 51336#0: *4927 open() "/usr/local/www/libraries/nextend2/smartslider/media/plugins/widgetautoplay/image/image/pause/small-light.svg" failed (2: No such file or directory), client: ::1, server: , request: "GET /libraries/nextend2/smartslider/media/plugins/widgetautoplay/image/image/pause/small-light.svg HTTP/1.1", host: "localhost", referrer: "http://portal.tapachula.gob.mx/"



  • Algun comentario? alguna idea? …

    ::)



  • De plano nadie?  ::)



  • Hola

    Pero el problemas es por servidor web, esta buscando un archivo svg que no existe, no es ningún ataque si fuera un ataque el servidor puede estar saturado en cpu o en las interfaces



  • Gracias por responder.

    No entiendo el porqué el sistema deba estar buscando en una ruta que no debe.  Es decir "algo" está haciendo busquedas de ese archivo svg en una ruta del servidor publica que solo contiene los archivos del webgui, o sea como porqué debe estar buscando ese archivo en esa ruta?

    Saludos



  • Hola

    La ruta a ../libraries/nextend2/smartslider/ … corresponde a un editor visual de http://nextendweb.com/smart-slider/ , que se usa como plugin en Joomla y wordpress, etc…

    El cliente que por el método GET está haciendo peticiones a esa ruta, al web server nginx de la GUI de tu pfSense es:  client: ::1 , es decir el ipv6 localhost y se las hace a el mismo (localhost).

    Muy raro. A no ser que hayas estado instalando smart-slider en pfSenser (nunca vi tal cosa).

    Lo que yo haria es: Fresh instalation (instalación desde 0 de pfSense) and restore backup (y restaurar backup).

    Y repasar el xml del backup, por si hay alguna "sorpresa"

    Salu2



  • Gracias por responder javcasta, entonces mis sospechas son ciertas.  Hay algo "raro" en esas peticiones, porque como dices, porqué está buscando ahí si no traté de instalar nada… Muy raro todo esto.

    El problema que tengo es que no cuento con ningún equipo extra para montar pfsense de nuevo, por lo que tendré que buscar mientras pfsense está activo y no dejar sin internet al edificio...  Alguna sugerencia por dónde comenzar?

    Saludos!


Log in to reply