Servidor Ubuntu com Zimbra instalado derrubando a internet

admleandros
(usa Ubuntu)

Enviado em 09/08/2015 - 09:12h

Sou iniciante no LINUX.
Criei um servidor de e-mail com o UBUNTU SERVER e ZIMBRA, tudo funcionou corretamente em relação a envio e recebimentos de e-mails por uns 2 dias. Após esse tempo, o servidor começou a derrubar meu link de internet. Tenho um link dedicado da Embratel e o servidor de e-mail está com um ip externo valido. Quando desligo o server, a internet volta ao normal.
Já formatei o servidor e o problema volta, realizei a instalação com CENTOS e o problema também aconteceu.

Notei através de pings no roteador a Embratel, que ele cai, por isso a internet para de funcionar. Quando desligo o servidor ele volta a responder normalmente.

Alguém tem alguma pode me ajudar nesse caso?

wnp
(usa Debian)

Enviado em 09/08/2015 - 09:31h

Parece ser algum problema de rede e não do servidor. Verifica a configuração de rede do roteador e do servidor.

admleandros
(usa Ubuntu)

Enviado em 09/08/2015 - 09:38h

Não tenho acesso ao roteador da Embratel, mas tenho um outro servidor Windows na mesma rede. Com a mesma configuração e está normal.
Outro ponto que notei.Realizo a instalação do linux no servidor, antes de instalar o Zimbra, posso deixar o servidor na internet normalmente que não derruba. Também já realizei a troca do endereço de IP e o problema continua.

wnp
(usa Debian)

Enviado em 09/08/2015 - 11:42h

Cara, tenta parar o serviço do Zimbra e verifica se a internet volta ao normal. Verifica se tem alguma regra de firewall que é ativada na instalação ou inicialização do Zimbra. As estações da LAN acessam a internet com esse servidor ligado? O gateway da rede é router da Embratel?

admleandros
(usa Ubuntu)

Enviado em 09/08/2015 - 18:41h

Efetuei a limpeza das regras iptables - #iptables -F, realizei a parada dos serviços do zimbra. Mesmo assim a internet ainda fica caindo.

Outra coisa que eu observei é que o TX na eth0(internet), sobe de uma forma estranha no momento da queda, pula de 3GB para 6 GB em muito pouco tempo, e se deixar vai pra 12GB e não para.

Tenho um servidor windows compartilhando a internet para as maquinas na rede, esse servidor linux está por fora, ou seja, o servidor windows é o gateway para as estações e o roteador da Embratel é gateway para Servidor de e-mail e o servidor Windows.

Estou trabalhando remoto pela minha casa, disparo um ping no gateway da Embratel para acompanhar, quando ativo a eth0 do servidor os pings param de responder por mais ou menos 1 minuto e volta a reposnder por uns 20 segundos, cai novamente e fica nessa.

admleandros
(usa Ubuntu)

Enviado em 09/08/2015 - 19:21h

Amigo, instalei o iftop no servidor e dei uma acompanhada nas conexões e trafego na eth0, existe um endereço de ip de Hong Kong "103.240.141.68" que está fazendo acesso estranho e gerando um trafego de rede para varios ips na internet preferencialmente nos endereços parecidos com os meus. realizei o bloqueio da entrada e saida para esse ip pelo iptables e a Internet normalizou.
O meu servidor ainda continua tentando se conectar ao endereço, tem alguma de como posso localizar e eliminar a origem para parar a tentativa de acesso?

wnp
(usa Debian)

Enviado em 09/08/2015 - 19:26h

Quanto é a banda do link? Será que alguma aplicação no servidor não está consumindo toda banda?

Verifica as conexões ativas no servidor: #netstat -tluanp

É interessante você instalar no servidor o iftop, um programinha leve que monitora o tráfego das conexões da placa de rede.

Com ele da pra identificar a origem, destino, protocolo e quanto cada conexão está consumindo de banda. No Ubuntu da pra instalar pelo gerenciador de pacotes, acho q pelo CentOS também.

Despois que você identificar a conexão suspeita você derruba ela com o comando kill -9 "pid_da_aplicação" e verifica se a internet volta ao normal.

wnp
(usa Debian)

Enviado em 09/08/2015 - 19:31h

Executa esse comando: #lsof -i :"porta_saída_conexão_suspeita" -n

Com o #netstat -tluanp | grep "conexao" também é informado qual aplicação usa a conexão e qual o pid.

admleandros
(usa Ubuntu)

Enviado em 10/08/2015 - 14:32h

# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.1 33652 4164 ? Ss Ago09 0:07 /sbin/init
root 2 0.0 0.0 0 0 ? S Ago09 0:00 [kthreadd]
root 3 0.0 0.0 0 0 ? S Ago09 0:00 [ksoftirqd/0]
root 5 0.0 0.0 0 0 ? S< Ago09 0:00 [kworker/0:0H]
root 7 0.0 0.0 0 0 ? S Ago09 0:28 [rcu_sched]
root 8 0.0 0.0 0 0 ? S Ago09 0:05 [rcuos/0]
root 9 0.0 0.0 0 0 ? S Ago09 0:04 [rcuos/1]
root 10 0.0 0.0 0 0 ? R Ago09 0:04 [rcuos/2]
root 11 0.0 0.0 0 0 ? S Ago09 0:05 [rcuos/3]
root 12 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/4]
root 13 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/5]
root 14 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/6]
root 15 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/7]
root 16 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/8]
root 17 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/9]
root 18 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/10]
root 19 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/11]
root 20 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/12]
root 21 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/13]
root 22 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/14]
root 23 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/15]
root 24 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/16]
root 25 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/17]
root 26 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/18]
root 27 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/19]
root 28 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/20]
root 29 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/21]
root 30 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/22]
root 31 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/23]
root 32 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/24]
root 33 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/25]
root 34 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/26]
root 35 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/27]
root 36 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/28]
root 37 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/29]
root 38 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/30]
root 39 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/31]
root 40 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/32]
root 41 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/33]
root 42 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/34]
root 43 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/35]
root 44 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/36]
root 45 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/37]
root 46 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/38]
root 47 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/39]
root 48 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/40]
root 49 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/41]
root 50 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/42]
root 51 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/43]
root 52 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/44]
root 53 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/45]
root 54 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/46]
root 55 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/47]
root 56 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/48]
root 57 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/49]
root 58 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/50]
root 59 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/51]
root 60 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/52]
root 61 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/53]
root 62 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/54]
root 63 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/55]
root 64 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/56]
root 65 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/57]
root 66 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/58]
root 67 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/59]
root 68 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/60]
root 69 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/61]
root 70 0.0 0.0 0 0 ? S Ago09 0:00 [rcuos/62]
root 71 0.0 0.0 0 0 ? S Ago09 0:00 [rcu_bh]
root 72 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/0]
root 73 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/1]
root 74 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/2]
root 75 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/3]
root 76 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/4]
root 77 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/5]
root 78 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/6]
root 79 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/7]
root 80 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/8]
root 81 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/9]
root 82 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/10]
root 83 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/11]
root 84 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/12]
root 85 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/13]
root 86 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/14]
root 87 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/15]
root 88 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/16]
root 89 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/17]
root 90 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/18]
root 91 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/19]
root 92 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/20]
root 93 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/21]
root 94 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/22]
root 95 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/23]
root 96 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/24]
root 97 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/25]
root 98 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/26]
root 99 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/27]
root 100 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/28]
root 101 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/29]
root 102 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/30]
root 103 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/31]
root 104 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/32]
root 105 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/33]
root 106 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/34]
root 107 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/35]
root 108 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/36]
root 109 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/37]
root 110 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/38]
root 111 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/39]
root 112 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/40]
root 113 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/41]
root 114 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/42]
root 115 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/43]
root 116 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/44]
root 117 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/45]
root 118 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/46]
root 119 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/47]
root 120 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/48]
root 121 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/49]
root 122 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/50]
root 123 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/51]
root 124 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/52]
root 125 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/53]
root 126 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/54]
root 127 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/55]
root 128 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/56]
root 129 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/57]
root 130 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/58]
root 131 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/59]
root 132 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/60]
root 133 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/61]
root 134 0.0 0.0 0 0 ? S Ago09 0:00 [rcuob/62]
root 135 0.0 0.0 0 0 ? S Ago09 0:01 [migration/0]
root 136 0.0 0.0 0 0 ? S Ago09 0:00 [watchdog/0]
root 137 0.0 0.0 0 0 ? S Ago09 0:00 [watchdog/1]
root 138 0.0 0.0 0 0 ? S Ago09 0:01 [migration/1]
root 139 0.0 0.0 0 0 ? S Ago09 0:00 [ksoftirqd/1]
root 141 0.0 0.0 0 0 ? S< Ago09 0:00 [kworker/1:0H]
root 142 0.0 0.0 0 0 ? S Ago09 0:00 [watchdog/2]
root 143 0.0 0.0 0 0 ? S Ago09 0:01 [migration/2]
root 144 0.0 0.0 0 0 ? S Ago09 0:00 [ksoftirqd/2]
root 145 0.0 0.0 0 0 ? R Ago09 0:00 [kworker/2:0]
root 146 0.0 0.0 0 0 ? S< Ago09 0:00 [kworker/2:0H]
root 147 0.0 0.0 0 0 ? S Ago09 0:00 [watchdog/3]
root 148 0.0 0.0 0 0 ? S Ago09 0:01 [migration/3]
root 149 0.0 0.0 0 0 ? S Ago09 0:00 [ksoftirqd/3]
root 151 0.0 0.0 0 0 ? S< Ago09 0:00 [kworker/3:0H]
root 152 0.0 0.0 0 0 ? S< Ago09 0:00 [khelper]
root 153 0.0 0.0 0 0 ? S Ago09 0:00 [kdevtmpfs]
root 154 0.0 0.0 0 0 ? S< Ago09 0:00 [netns]
root 155 0.0 0.0 0 0 ? S Ago09 0:00 [khungtaskd]
root 156 0.0 0.0 0 0 ? S< Ago09 0:00 [writeback]
root 157 0.0 0.0 0 0 ? SN Ago09 0:00 [ksmd]
root 158 0.0 0.0 0 0 ? SN Ago09 0:00 [khugepaged]
root 159 0.0 0.0 0 0 ? S< Ago09 0:00 [crypto]
root 160 0.0 0.0 0 0 ? S< Ago09 0:00 [kintegrityd]
root 161 0.0 0.0 0 0 ? S< Ago09 0:00 [bioset]
root 162 0.0 0.0 0 0 ? S< Ago09 0:00 [kblockd]
root 163 0.0 0.0 0 0 ? S< Ago09 0:00 [ata_sff]
root 164 0.0 0.0 0 0 ? S Ago09 0:00 [khubd]
root 165 0.0 0.0 0 0 ? S< Ago09 0:00 [md]
root 166 0.0 0.0 0 0 ? S< Ago09 0:00 [devfreq_wq]
root 168 0.0 0.0 0 0 ? S Ago09 0:09 [kworker/0:1]
root 169 0.0 0.0 0 0 ? S Ago09 0:00 [kworker/1:1]
root 171 0.0 0.0 0 0 ? S Ago09 0:00 [kswapd0]
root 172 0.0 0.0 0 0 ? S Ago09 0:00 [fsnotify_mark]
root 173 0.0 0.0 0 0 ? S Ago09 0:00 [ecryptfs-kthrea]
root 185 0.0 0.0 0 0 ? S< Ago09 0:00 [kthrotld]
root 186 0.0 0.0 0 0 ? S< Ago09 0:00 [acpi_thermal_pm]
root 187 0.0 0.0 0 0 ? S Ago09 0:00 [scsi_eh_0]
root 188 0.0 0.0 0 0 ? S< Ago09 0:00 [scsi_tmf_0]
root 189 0.0 0.0 0 0 ? S Ago09 0:00 [scsi_eh_1]
root 190 0.0 0.0 0 0 ? S< Ago09 0:00 [scsi_tmf_1]
root 192 0.0 0.0 0 0 ? S< Ago09 0:00 [ipv6_addrconf]
root 213 0.0 0.0 0 0 ? S< Ago09 0:00 [deferwq]
root 214 0.0 0.0 0 0 ? S< Ago09 0:00 [charger_manager]
root 264 0.0 0.0 0 0 ? S< Ago09 0:00 [kpsmoused]
root 268 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_con]
root 273 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 274 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 275 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 276 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 277 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 278 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 279 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 280 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 281 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 282 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 283 0.0 0.0 0 0 ? S< Ago09 0:00 [hv_vmbus_ctl]
root 285 0.0 0.0 0 0 ? S Ago09 0:00 [kworker/2:1]
root 286 0.0 0.0 0 0 ? S Ago09 0:00 [scsi_eh_2]
root 287 0.0 0.0 0 0 ? S< Ago09 0:00 [scsi_tmf_2]
root 288 0.0 0.0 0 0 ? S Ago09 0:00 [scsi_eh_3]
root 289 0.0 0.0 0 0 ? S< Ago09 0:00 [scsi_tmf_3]
root 297 0.0 0.0 0 0 ? S< Ago09 0:00 [kdmflush]
root 298 0.0 0.0 0 0 ? S< Ago09 0:00 [bioset]
root 300 0.0 0.0 0 0 ? S< Ago09 0:00 [kdmflush]
root 301 0.0 0.0 0 0 ? S< Ago09 0:00 [bioset]
root 316 0.0 0.0 0 0 ? S Ago09 0:01 [jbd2/dm-0-8]
root 317 0.0 0.0 0 0 ? S< Ago09 0:00 [ext4-rsv-conver]
root 456 0.0 0.0 19612 2072 ? S Ago09 0:00 upstart-udev-bridge --daemon
root 464 0.0 0.0 51568 3696 ? Ss Ago09 0:00 /lib/systemd/systemd-udevd --daemon
root 599 0.0 0.0 15264 232 ? S Ago09 0:00 upstart-socket-bridge --daemon
root 646 0.0 0.0 0 0 ? S< Ago09 0:00 [ext4-rsv-conver]
root 865 0.0 0.0 15280 200 ? S Ago09 0:00 upstart-file-bridge --daemon
message+ 890 0.0 0.0 39224 2336 ? Ss Ago09 0:00 dbus-daemon --system --fork
root 985 0.0 0.0 43456 3288 ? Ss Ago09 0:00 /lib/systemd/systemd-logind
root 1020 0.0 0.0 15832 2096 tty4 Ss+ Ago09 0:00 /sbin/getty -8 38400 tty4
root 1048 0.0 0.0 15832 2072 tty5 Ss+ Ago09 0:00 /sbin/getty -8 38400 tty5
root 1080 0.0 0.0 15832 2048 tty2 Ss+ Ago09 0:00 /sbin/getty -8 38400 tty2
root 1081 0.0 0.0 15832 2032 tty3 Ss+ Ago09 0:00 /sbin/getty -8 38400 tty3
root 1083 0.0 0.0 15832 2032 tty6 Ss+ Ago09 0:00 /sbin/getty -8 38400 tty6
root 1103 0.0 0.1 61372 5404 ? Ss Ago09 0:00 /usr/sbin/sshd -D
root 1104 0.0 0.0 23660 2392 ? Ss Ago09 0:00 cron
daemon 1105 0.0 0.0 19144 164 ? Ss Ago09 0:00 atd
root 1110 0.0 0.0 4372 1684 ? Ss Ago09 0:00 acpid -c /etc/acpi/events -s /var/run/acpid.socket
root 1142 0.0 0.0 19196 2164 ? Ss Ago09 0:02 /usr/sbin/irqbalance
root 1226 0.0 0.0 0 0 ? S Ago09 0:00 [kauditd]
zimbra 1309 0.0 2.9 84251104 119676 ? Ssl Ago09 0:19 /opt/zimbra/openldap/sbin/slapd -l LOCAL0 -u zimbra -h ldap://mail.hostmsambiental.com:38
zimbra 1358 0.4 8.3 3584568 338100 ? Sl Ago09 4:37 /opt/zimbra/java/bin/java -client -Xmx256m -Dhttps.protocols=TLSv1,TLSv1.1,TLSv1.2 -Djdk.
zimbra 2116 0.0 0.0 4468 1732 ? S Ago09 0:00 /bin/sh /opt/zimbra/mariadb/bin/mysqld_safe --defaults-file=/opt/zimbra/conf/my.cnf --ext
zimbra 2355 0.0 5.4 1863032 221700 ? Sl Ago09 0:39 /opt/zimbra/mariadb/bin/mysqld --defaults-file=/opt/zimbra/conf/my.cnf --basedir=/opt/zim
root 2438 0.0 0.0 6476 104 ? Ss Ago09 0:00 /opt/zimbra/libexec/zmmailboxdmgr start -Dfile.encoding=UTF-8 -server -Dhttps.protocols=T
zimbra 2439 0.3 15.0 4629968 606316 ? Sl Ago09 4:01 /opt/zimbra/java/bin/java -Dfile.encoding=UTF-8 -server -Dhttps.protocols=TLSv1,TLSv1.1,T
zimbra 2580 0.0 0.0 314920 2360 ? Ssl Ago09 0:02 /opt/zimbra/memcached/bin/memcached -d -P /opt/zimbra/log/memcached.pid
zimbra 2629 0.0 0.1 46320 6892 ? S Ago09 0:00 /usr/bin/perl -T /opt/zimbra/amavisd/sbin/amavis-mc
zimbra 2630 0.0 0.2 125152 8256 ? Sl Ago09 0:13 /usr/bin/perl -T /opt/zimbra/amavisd/sbin/amavis-services msg-forwarder
zimbra 2631 0.0 0.1 125288 7940 ? Sl Ago09 0:13 /usr/bin/perl -T /opt/zimbra/amavisd/sbin/amavis-services childproc-minder
zimbra 2632 0.0 0.2 125160 8132 ? Sl Ago09 0:12 /usr/bin/perl -T /opt/zimbra/amavisd/sbin/amavis-services snmp-responder
zimbra 2728 0.0 2.9 390600 119280 ? Ss Ago09 0:01 /opt/zimbra/amavisd/sbin/amavisd (master)
zimbra 2927 0.0 8.3 518880 335536 ? Ssl Ago09 0:28 /opt/zimbra/clamav/sbin/clamd --config-file=/opt/zimbra/conf/clamd.conf
zimbra 2965 0.0 0.1 51524 6264 ? Ss Ago09 0:26 /opt/zimbra/clamav/bin/freshclam --config-file=/opt/zimbra/conf/freshclam.conf --quiet --
zimbra 2966 0.0 0.0 44700 2544 ? Ss Ago09 0:00 /opt/zimbra/opendkim/sbin/opendkim -x /opt/zimbra/conf/opendkim.conf -u zimbra
zimbra 2967 0.0 0.1 134824 4148 ? Sl Ago09 0:00 /opt/zimbra/opendkim/sbin/opendkim -x /opt/zimbra/conf/opendkim.conf -u zimbra
zimbra 2996 0.0 0.2 109468 10356 ? Ss Ago09 0:01 /opt/zimbra/httpd-2.4.10/bin/httpd -k start -f /opt/zimbra/conf/httpd.conf
zimbra 2997 0.0 0.0 21768 2032 ? S Ago09 0:00 /opt/zimbra/httpd/bin/rotatelogs /opt/zimbra/log/httpd_error.log.%Y-%m-%d 86400
zimbra 2998 0.0 0.0 21768 1136 ? S Ago09 0:00 /opt/zimbra/httpd/bin/rotatelogs /opt/zimbra/log/httpd_access.log.%Y-%m-%d 86400
zimbra 3034 0.0 0.1 396296 7224 ? Sl Ago09 0:14 /opt/zimbra/httpd-2.4.10/bin/httpd -k start -f /opt/zimbra/conf/httpd.conf
zimbra 3036 0.0 0.1 396296 7224 ? Sl Ago09 0:14 /opt/zimbra/httpd-2.4.10/bin/httpd -k start -f /opt/zimbra/conf/httpd.conf
zimbra 3039 0.0 0.1 396296 7224 ? Sl Ago09 0:14 /opt/zimbra/httpd-2.4.10/bin/httpd -k start -f /opt/zimbra/conf/httpd.conf
zimbra 3118 0.0 0.0 53736 2464 ? Ss Ago09 0:00 /opt/zimbra/cyrus-sasl/sbin/saslauthd -r -a zimbra
zimbra 3119 0.0 0.0 53736 604 ? S Ago09 0:00 /opt/zimbra/cyrus-sasl/sbin/saslauthd -r -a zimbra
zimbra 3120 0.0 0.0 53736 604 ? S Ago09 0:00 /opt/zimbra/cyrus-sasl/sbin/saslauthd -r -a zimbra
zimbra 3121 0.0 0.0 53736 604 ? S Ago09 0:00 /opt/zimbra/cyrus-sasl/sbin/saslauthd -r -a zimbra
zimbra 3122 0.0 0.0 53736 604 ? S Ago09 0:00 /opt/zimbra/cyrus-sasl/sbin/saslauthd -r -a zimbra
root 3234 0.0 0.0 53072 3836 ? Ss Ago09 0:00 /opt/zimbra/postfix/libexec/master -w
postfix 3236 0.0 0.1 53364 5096 ? S Ago09 0:00 qmgr -l -t unix -u
zimbra 3280 0.0 0.2 48196 9732 ? S Ago09 0:15 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-proc
zimbra 3282 0.0 0.2 47940 9512 ? S Ago09 0:01 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-cpu
zimbra 3284 0.0 0.2 47944 9412 ? S Ago09 0:01 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-vm
zimbra 3286 0.0 0.2 47948 9468 ? S Ago09 0:00 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-io -x
zimbra 3288 0.0 0.2 47888 9304 ? S Ago09 0:00 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-df
zimbra 3290 0.0 0.2 47948 9416 ? S Ago09 0:00 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-io
zimbra 3292 0.0 0.2 50228 9748 ? S Ago09 0:00 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-fd
zimbra 3294 0.1 0.2 53544 10928 ? S Ago09 1:39 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-allprocs
zimbra 3296 0.0 0.2 48064 9568 ? S Ago09 0:06 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-mysql
zimbra 3298 0.0 0.2 47804 9272 ? S Ago09 0:01 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-mtaqueue
zimbra 3300 0.0 0.3 53128 14756 ? S Ago09 0:24 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-ldap
root 3473 0.0 0.0 0 0 ? S 03:19 0:11 [kworker/0:0]
root 3894 0.0 0.0 15832 2060 tty1 Ss+ Ago09 0:00 /sbin/getty -8 38400 tty1
root 3976 0.0 0.0 64196 3660 ? S Ago09 0:00 sudo /opt/zimbra/libexec/zmstat-fd
root 3979 0.0 0.2 50112 9576 ? S Ago09 0:01 /usr/bin/perl -w /opt/zimbra/libexec/zmstat-fd
zimbra 5023 0.0 0.0 6568 768 ? S Ago09 0:00 /usr/bin/vmstat -n -S K 30
zimbra 5024 0.0 0.0 4392 1660 ? S Ago09 0:01 /usr/bin/iostat -d -k 30
zimbra 5049 0.0 0.0 4392 1636 ? S Ago09 0:01 /usr/bin/iostat -d -k -x 30
postfix 9449 0.0 0.1 53180 5036 ? S 12:14 0:00 pickup -l -t unix -u
root 10499 0.0 0.0 0 0 ? S 07:52 0:02 [kworker/u126:2]
root 15411 0.0 0.0 0 0 ? S< Ago09 0:00 [kworker/3:1H]
root 15726 0.0 0.0 0 0 ? S< 00:43 0:00 [kworker/2:1H]
syslog 23022 0.0 0.2 190312 9048 ? Ssl 06:42 0:01 rsyslogd
root 23065 0.0 0.0 0 0 ? S 06:42 0:00 [kworker/3:1]
zimbra 23666 0.0 0.5 54104 20524 ? Ss 06:42 0:09 /opt/zimbra/libexec/logswatch --config-file=/opt/zimbra/conf/logswatchrc --use-cpan-file-
zimbra 23667 0.0 0.3 48036 12952 ? S 06:42 0:13 /usr/bin/perl /opt/zimbra/libexec/zmlogger
zimbra 23767 0.0 0.2 45172 8596 ? S 06:42 0:00 zmlogger: zmrrdfetch: server
zimbra 23831 0.0 0.3 38916 12628 ? S 06:42 0:00 /usr/bin/perl /opt/zimbra/libexec/swatch --config-file=/opt/zimbra/conf/swatchrc --use-cp
zimbra 23873 0.0 0.5 54132 21768 ? S 06:42 0:10 /usr/bin/perl /opt/zimbra/data/tmp/.swatch_script.23831
root 25678 0.0 0.0 0 0 ? S 05:18 0:04 [kworker/u126:0]
root 28452 0.0 0.0 0 0 ? S< Ago09 0:00 [kworker/0:1H]
root 30289 0.0 0.1 105640 6548 ? Ss 12:43 0:00 sshd: root@pts/0
root 30324 0.0 0.0 0 0 ? S 12:43 0:00 [kworker/3:2]
root 30395 0.0 0.1 22552 5192 pts/0 Ss 12:43 0:00 -bash
postfix 31062 0.0 0.1 53188 5280 ? S Ago09 0:00 tlsmgr -l -t unix -u
root 31308 0.0 0.1 250976 7636 pts/0 Sl+ 12:44 0:00 iftop -i eth0
root 31532 0.0 0.1 105640 6632 ? Ss 12:44 0:00 sshd: root@pts/1
root 31775 0.0 0.1 22704 5276 pts/1 Ss 12:44 0:00 -bash
postfix 40714 0.0 0.1 53184 5048 ? S 12:57 0:00 showq -t unix -u
zimbra 41111 0.0 2.9 390600 117920 ? Sl 11:30 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra 41457 0.0 2.9 390600 117920 ? Sl 11:30 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
root 43746 0.0 0.0 0 0 ? S< Ago09 0:00 [kworker/1:1H]
root 55320 36.7 0.0 25796 868 ? Ssl 13:17 0:20 netstat -an
root 55772 0.0 0.0 0 0 ? S 13:17 0:00 [kworker/u126:1]
root 56278 0.0 0.0 1464 1036 ? Ss 13:18 0:00 pwd
root 56282 0.0 0.0 1464 1040 ? Ss 13:18 0:00 ifconfig
root 56285 0.0 0.0 1464 1040 ? Ss 13:18 0:00 pwd
root 56286 0.0 0.0 1464 1040 ? Ss 13:18 0:00 echo "find"
root 56287 0.0 0.0 1464 1040 ? Ss 13:18 0:00 netstat -antop
root 56298 0.0 0.0 1464 1040 ? Ss 13:18 0:00 ifconfig
root 56299 0.0 0.0 1464 1040 ? Ss 13:18 0:00 grep "A"
root 56300 0.0 0.0 1464 1040 ? Ss 13:18 0:00 netstat -an
root 56302 0.0 0.0 1464 1044 ? Ss 13:18 0:00 grep "A"
root 56303 0.0 0.0 1464 1040 ? Ss 13:18 0:00 sleep 1
root 56304 0.0 0.0 18500 2688 pts/1 R+ 13:18 0:00 ps aux
root 57598 0.0 0.0 0 0 ? S Ago09 0:00 [kworker/1:2]
zimbra 64042 0.0 2.9 390600 117920 ? Sl 10:34 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra 64045 0.0 2.9 390600 117920 ? Sl 10:34 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra 64053 0.0 2.9 390600 117920 ? Sl 10:34 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra 64071 0.0 2.9 390600 117920 ? Sl 10:34 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra 64075 0.0 2.9 390600 117920 ? Sl 10:34 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra 64081 0.0 2.9 390600 117920 ? Sl 10:34 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra 64085 0.0 2.9 390600 117920 ? Sl 10:34 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)
zimbra 64088 0.0 2.9 390600 117920 ? Sl 10:34 0:00 /opt/zimbra/amavisd/sbin/amavisd (virgin child)

# lsof -i:6003 -n
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
lnsfvecwt 55320 root 3u IPv4 5102129 0t0 TCP xxx.xxx.xxx.xxx:44379->103.240.141.68:x11-3 (SYN_SENT)

# netstat -tluanp
tcp 0 1 XXX.XXX.XXX.XXX:44181 103.240.141.68:6003 SYN_ENVIADO 46213/ls -la
(quando eu mato esse processo, ainda continua rodando)

wnp
(usa Debian)

Enviado em 10/08/2015 - 15:26h

Cara, o seu servidor está se conectando na porta 6003 tcp do servidor 103.240.141.68.

Este IP é da empresa ClearDDoS Technologies. Você usa algum serviço desta empresa?

A porta 6003 está relacionada ao servidor X11. Pelo que entendi a inicialização do serviço lnsfvecwt que está estabelecendo essa conexão, tentando buscar um servidor X11 no IP 103.240.141.68.

Verifica como está a inicialização do servidor, com o que está relacionado o comando lnsfvecwt e desativa esse serviço.

No caso do Ubuntu, verifica em /etc/rc2.d (se o seu runlevel for 2, para saber é só digitar runlevel) os arquivos que começam com "S".

Tenta achar o binário tbm pra ver onde ele está localizado:
#updatedb - atualiza base de dados
#locate lnsfvecwt - localiza o binário

Posta o resultado.