[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: respuesta ante un ddos

bueno este server esta en un vps de linode , no tengo ninguna maquina detras de el , tengo un par de aplicaciones realizadas en mysql y php con un framework con symfony


El 17 de diciembre de 2013, 17:11, <lefrato@gmail.com> escribió:
Bloqueas el pueto y F2B sigue bloqueando, tienes algun proxy en ese mismo servidor? tendrás algún directorio web suficientemente flojo como para dejar que se corra algun boot desde tu server ? Puede ser desde la red interna ? Alguno otro acceso a la nube ?
Enviado desde mi BlackBerry de Claro
From: troxlinux <xserverlinux@gmail.com>
Date: Tue, 17 Dec 2013 16:50:04 -0600
To: <debian-user-spanish@lists.debian.org>
Cc: debian-user-spanish<debian-user-spanish@lists.debian.org>
Subject: Re: respuesta ante un ddos

lo raro es que cerrando el puerto en el firewall el fail2ban  no para de seguir bloqueando , he buscado rootkits son rkhunter , me he fijado en la particion /tmp por si hay algo raro , he visto los procesos por si hay alguno con ps -aux y no veo nada ...

alguna pista donde buscar ?


El 17 de diciembre de 2013, 16:47, troxlinux <xserverlinux@gmail.com> escribió:
estimados sigo con los problemas , me he configurado el fail2ban y esta bloqueando como condenado , pero aun asi sigo viendo esos log dentro de mi apache y el tipo no se cansa

recibo miles de correos por minuto y me tiene cansado

[Fail2Ban] httpd-get-dos: banned 192.210.59.182

[Fail2Ban] httpd-get-dos: banned 173.208.177.139

dentro del error.log


[Tue Dec 17 22:47:22 2013] [error] [client 117.41.182.45] Invalid URI in request POST  HTTP/1.1
[Tue Dec 17 22:47:22 2013] [error] [client 69.162.70.77] client denied by server configuration: /var/www/html/st, referer: http://www.fitnesscareson.com/fitness-classes/sport-fitness/the-impact-of-food-advertising-on-child-obesity-5.html
[Tue Dec 17 22:47:22 2013] [error] [client 216.244.84.87] client denied by server configuration: /var/www/html/11560, referer: http://www.lotsoffree.com/index.php?option=com_content&view=category&id=39&Itemid=106
[Tue Dec 17 22:47:22 2013] [error] [client 31.11.93.75] client denied by server configuration: /var/www/html/, referer: http://www.bing.com/
[Tue Dec 17 22:47:22 2013] [error] [client 31.11.93.75] client denied by server configuration: /var/www/error/noindex.html, referer: http://www.bing.com/
[Tue Dec 17 22:47:22 2013] [error] [client 23.239.99.189] client denied by server configuration: /var/www/html/ttj, referer: http://www.onlinemovieslive.com/?page_id=3525
[Tue Dec 17 22:47:22 2013] [error] [client 216.244.75.180] client denied by server configuration: /var/www/html/11671, referer: http://www.californiadegreeguide.com/media/rokgallery/b/b1ad055d-82a3-4ef4-a327-a0ecf8528efc/feature3.jpg
[Tue Dec 17 22:47:22 2013] [error] [client 172.240.255.37] client denied by server configuration: /var/www/html/st, referer: http://www.sceatec.com/programming/customization-files-between-microsoft-dynamics-crm-systems.html





El 17 de diciembre de 2013, 8:43, Camaleón <noelamac@gmail.com> escribió:

El Mon, 16 Dec 2013 16:54:16 -0600, troxlinux escribió:

> hola foro , tengo un firewall instalado a mano con iptables y desde hace
> unos días de repente veo que con un tío

Dudo mucho que se trate de "un tío", seguramente se trate de un robot
automático dedicado a lanzar peticiones a tutiplén a modo de rastero para
ver si hay algún servicio que responde y que pueda atacar.

> se me conecta y me hace muchas conexiones al  webserver de mi servidor
> y me lo bota a veces pasa hasta 1 hora , hace poco se me peqo al 25 de
> mi servidor y me hizo lo mismo.

Los intentos de conexión al puerto 25 (servidor de correos) son muy
habituales (para enviar spam), pero eso no indica que se trate de un
ataque de tipo DDoS, por lo general los intentos de conexión finalizan a
los pocos minutos, lo que dura la rutina del bot.

> abra alguna forma de tener a estos tipos asi sin cerrar el puerto? ,
> este servidor lo tengo en linode

No, puedes mitigarlo pero no detenerlo. Prueba lo más sencillo que es un
servicio de tipo fail2ban para que bloquee las conexiones que se hacen
desde una misma IP y que se producen en un corto intervalo de tiempo
evitando asó que te sature los servicios (http y smtp).

Saludos,

--
Camaleón


--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] pan.2013.12.17.14.44.08@gmail.com" target="_blank">http://lists.debian.org/[🔎] pan.2013.12.17.14.44.08@gmail.com




--
rickygm

http://gnuforever.homelinux.com



--
rickygm

http://gnuforever.homelinux.com



--
rickygm

http://gnuforever.homelinux.com
Reply to: