Bloqueas el pueto y F2B sigue bloqueando, tienes algun proxy en ese mismo servidor? tendrás algún directorio web suficientemente flojo como para dejar que se corra algun boot desde tu server ? Puede ser desde la red interna ? Alguno otro acceso a la nube ?Date: Tue, 17 Dec 2013 16:50:04 -0600Cc: debian-user-spanish<debian-user-spanish@lists.debian.org>Subject: Re: respuesta ante un ddoslo raro es que cerrando el puerto en el firewall el fail2ban no para de seguir bloqueando , he buscado rootkits son rkhunter , me he fijado en la particion /tmp por si hay algo raro , he visto los procesos por si hay alguno con ps -aux y no veo nada ...
alguna pista donde buscar ?El 17 de diciembre de 2013, 16:47, troxlinux <xserverlinux@gmail.com> escribió:
estimados sigo con los problemas , me he configurado el fail2ban y esta bloqueando como condenado , pero aun asi sigo viendo esos log dentro de mi apache y el tipo no se cansarecibo miles de correos por minuto y me tiene cansado
[Fail2Ban] httpd-get-dos: banned 192.210.59.182
[Fail2Ban] httpd-get-dos: banned 173.208.177.139
dentro del error.log
[Tue Dec 17 22:47:22 2013] [error] [client 117.41.182.45] Invalid URI in request POST HTTP/1.1
[Tue Dec 17 22:47:22 2013] [error] [client 69.162.70.77] client denied by server configuration: /var/www/html/st, referer: http://www.fitnesscareson.com/fitness-classes/sport-fitness/the-impact-of-food-advertising-on-child-obesity-5.html
[Tue Dec 17 22:47:22 2013] [error] [client 216.244.84.87] client denied by server configuration: /var/www/html/11560, referer: http://www.lotsoffree.com/index.php?option=com_content&view=category&id=39&Itemid=106
[Tue Dec 17 22:47:22 2013] [error] [client 31.11.93.75] client denied by server configuration: /var/www/html/, referer: http://www.bing.com/
[Tue Dec 17 22:47:22 2013] [error] [client 31.11.93.75] client denied by server configuration: /var/www/error/noindex.html, referer: http://www.bing.com/
[Tue Dec 17 22:47:22 2013] [error] [client 23.239.99.189] client denied by server configuration: /var/www/html/ttj, referer: http://www.onlinemovieslive.com/?page_id=3525
[Tue Dec 17 22:47:22 2013] [error] [client 216.244.75.180] client denied by server configuration: /var/www/html/11671, referer: http://www.californiadegreeguide.com/media/rokgallery/b/b1ad055d-82a3-4ef4-a327-a0ecf8528efc/feature3.jpg
[Tue Dec 17 22:47:22 2013] [error] [client 172.240.255.37] client denied by server configuration: /var/www/html/st, referer: http://www.sceatec.com/programming/customization-files-between-microsoft-dynamics-crm-systems.html
El 17 de diciembre de 2013, 8:43, Camaleón <noelamac@gmail.com> escribió:
El Mon, 16 Dec 2013 16:54:16 -0600, troxlinux escribió:
Dudo mucho que se trate de "un tío", seguramente se trate de un robot
> hola foro , tengo un firewall instalado a mano con iptables y desde hace
> unos días de repente veo que con un tío
automático dedicado a lanzar peticiones a tutiplén a modo de rastero para
ver si hay algún servicio que responde y que pueda atacar.
Los intentos de conexión al puerto 25 (servidor de correos) son muy
> se me conecta y me hace muchas conexiones al webserver de mi servidor
> y me lo bota a veces pasa hasta 1 hora , hace poco se me peqo al 25 de
> mi servidor y me hizo lo mismo.
habituales (para enviar spam), pero eso no indica que se trate de un
ataque de tipo DDoS, por lo general los intentos de conexión finalizan a
los pocos minutos, lo que dura la rutina del bot.
No, puedes mitigarlo pero no detenerlo. Prueba lo más sencillo que es un
> abra alguna forma de tener a estos tipos asi sin cerrar el puerto? ,
> este servidor lo tengo en linode
servicio de tipo fail2ban para que bloquee las conexiones que se hacen
desde una misma IP y que se producen en un corto intervalo de tiempo
evitando asó que te sature los servicios (http y smtp).
Saludos,
--
Camaleón
Archive: [🔎] pan.2013.12.17.14.44.08@gmail.com" target="_blank">http://lists.debian.org/[🔎] pan.2013.12.17.14.44.08@gmail.com
--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
--
rickygm
http://gnuforever.homelinux.com
--
rickygm
http://gnuforever.homelinux.com