[AYUDA] servidor sobrecargado...

Luis Daniel Lucio Quiroz luis.daniel.lucio en gmail.com
Lun Jun 7 22:16:45 CDT 2010 

Bueno
si no quieres bloquear por pais, entonces mod_geoip no es una opción para ti,
funciona, encuanto se  alcanza el umbral se bloquea la ip y encuanto baja se 
activa, aquí el chiste es hacer bien la regla de iptable  (asumo que usas 
linux)
Snort is un IDS/IPS muy conocido, SnortSAM es un plug que interactúa con snort 
e iptables para poner reglas de iptables que bloquean de acuerdo a la 
existencia de firmas, es más sofisticado que la segunda  opción que te dí.  Para 
mí está es la que tu necesitas.

Ahora sí a leer,

Le lundi 7 juin 2010 20:55:59, Javier Delgado a écrit :
> Hola..  buen unas notas...
> 
> 1. No quiero bloquear toda rusia... algunos de mis clientes tiene
> negocios con rusia...
> 2. que tan efectivo es eso?...
> 
> Por cierto.. ultimamente se han estado tratando de encontrar el root:
> 
> Jun  7 10:24:14 cl-t030-261cl sshd[12994]: Failed password for root from
> 218.234.33.31 port 46101 ssh2 Jun  7 10:24:14 cl-t030-261cl sshd[12995]:
> Received disconnect from 218.234.33.31: 11: Bye Bye Jun  7 10:24:17
> cl-t030-261cl sshd[12997]: pam_unix(sshd:auth): authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=218.234.33.31  user=root Jun  7
> 10:24:19 cl-t030-261cl sshd[12997]: Failed password for root from
> 218.234.33.31 port 46398 ssh2 Jun  7 10:24:20 cl-t030-261cl sshd[12998]:
> Received disconnect from 218.234.33.31: 11: Bye Bye Jun  7 10:24:23
> cl-t030-261cl sshd[13012]: pam_unix(sshd:auth): authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=218.234.33.31  user=root Jun  7
> 10:24:25 cl-t030-261cl sshd[13012]: Failed password for root from
> 218.234.33.31 port 46730 ssh2 Jun  7 10:24:25 cl-t030-261cl sshd[13013]:
> Received disconnect from 218.234.33.31: 11: Bye Bye Jun  7 10:24:28
> cl-t030-261cl sshd[13014]: pam_unix(sshd:auth): authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=218.234.33.31  user=root Jun  7
> 10:24:30 cl-t030-261cl sshd[13014]: Failed password for root from
> 218.234.33.31 port 47084 ssh2 Jun  7 10:24:30 cl-t030-261cl sshd[13015]:
> Received disconnect from 218.234.33.31: 11: Bye Bye Jun  7 10:24:33
> cl-t030-261cl sshd[13022]: pam_unix(sshd:auth): authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=218.234.33.31  user=root Jun  7
> 10:24:35 cl-t030-261cl sshd[13022]: Failed password for root from
> 218.234.33.31 port 47422 ssh2 Jun  7 10:24:36 cl-t030-261cl sshd[13023]:
> Received disconnect from 218.234.33.31: 11: Bye Bye Jun  7 10:24:38
> cl-t030-261cl sshd[13024]: pam_unix(sshd:auth): authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=218.234.33.31  user=root Jun  7
> 10:24:40 cl-t030-261cl sshd[13024]: Failed password for root from
> 218.234.33.31 port 47752 ssh2 Jun  7 10:24:41 cl-t030-261cl sshd[13025]:
> Received disconnect from 218.234.33.31: 11: Bye Bye
> 
> seguido de un monton de estos:
> 
> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: Invalid user data from
> 189.19.82.231 Jun  7 13:50:55 cl-t030-261cl sshd[32539]:
> input_userauth_request: invalid user data Jun  7 13:50:55 cl-t030-261cl
> sshd[32537]: pam_unix(sshd:auth): check pass; user unknown Jun  7 13:50:55
> cl-t030-261cl sshd[32537]: pam_unix(sshd:auth): authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=189-19-82-231.dsl.telesp.net.br
> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_succeed_if(sshd:auth):
> error retrieving information about user data Jun  7 13:50:58 cl-t030-261cl
> sshd[32537]: Failed password for invalid user data from 189.19.82.231 port
> 50966 ssh2
> 
> y tambien muchos de estos:
> 
> Jun  7 13:51:34 cl-t030-261cl sshd[32582]: pam_unix(sshd:auth):
> authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> rhost=189-19-82-231.dsl.telesp.net.br  user=admin Jun  7 13:51:36
> cl-t030-261cl sshd[32582]: Failed password for admin from 189.19.82.231
> port 52409 ssh2
> 
> y de estos:
> 
> Jun  7 14:10:02 cl-t030-261cl su: pam_unix(su:session): session opened for
> user postgres by (uid=0) Jun  7 14:10:02 cl-t030-261cl su:
> pam_unix(su:session): session closed for user postgres Jun  7 14:15:03
> cl-t030-261cl su: pam_unix(su:session): session opened for user postgres
> by (uid=0)
> 
> 
> Y claro.. un escaneo en forma alfabetica:
> 
> Jun  7 13:34:05 cl-t030-261cl sshd[30466]: Invalid user alex from
> 189.19.82.231 Jun  7 13:34:05 cl-t030-261cl sshd[30467]:
> input_userauth_request: invalid user alex Jun  7 13:34:05 cl-t030-261cl
> sshd[30466]: pam_unix(sshd:auth): check pass; user unknown Jun  7 13:34:05
> cl-t030-261cl sshd[30466]: pam_unix(sshd:auth): authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=189-19-82-231.dsl.telesp.net.br
> Jun  7 13:34:05 cl-t030-261cl sshd[30466]: pam_succeed_if(sshd:auth):
> error retrieving information about user*alex* Jun  7 13:34:07
> cl-t030-261cl sshd[30466]: Failed password for invalid user alex from
> 189.19.82.231 port 40596 ssh2 Jun  7 13:34:07 cl-t030-261cl sshd[30467]:
> Received disconnect from 189.19.82.231: 11: Bye Bye Jun  7 13:34:09
> cl-t030-261cl sshd[30478]: Invalid user alien from 189.19.82.231 Jun  7
> 13:34:09 cl-t030-261cl sshd[30479]: input_userauth_request: invalid user
> alien Jun  7 13:34:09 cl-t030-261cl sshd[30478]: pam_unix(sshd:auth):
> check pass; user unknown Jun  7 13:34:09 cl-t030-261cl sshd[30478]:
> pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh
> ruser= rhost=189-19-82-231.dsl.telesp.net.br Jun  7 13:34:09 cl-t030-261cl
> sshd[30478]: pam_succeed_if(sshd:auth): error retrieving information about
> user*alien* Jun  7 13:34:11 cl-t030-261cl sshd[30478]: Failed password for
> invalid user alien from 189.19.82.231 port 40738 ssh2 Jun  7 13:34:12
> cl-t030-261cl sshd[30479]: Received disconnect from 189.19.82.231: 11: Bye
> Bye Jun  7 13:34:13 cl-t030-261cl sshd[30482]: Invalid user alpuser from
> 189.19.82.231 Jun  7 13:34:13 cl-t030-261cl sshd[30483]:
> input_userauth_request: invalid user alpuser Jun  7 13:34:13 cl-t030-261cl
> sshd[30482]: pam_unix(sshd:auth): check pass; user unknown Jun  7 13:34:13
> cl-t030-261cl sshd[30482]: pam_unix(sshd:auth): authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=189-19-82-231.dsl.telesp.net.br
> Jun  7 13:34:13 cl-t030-261cl sshd[30482]: pam_succeed_if(sshd:auth):
> error retrieving information about user*alpuser* Jun  7 13:34:15
> cl-t030-261cl sshd[30482]: Failed password for invalid user alpuser from
> 189.19.82.231 port 40907 ssh2 Jun  7 13:34:15 cl-t030-261cl sshd[30483]:
> Received disconnect from 189.19.82.231: 11: Bye Bye
> 
> Jun  7 14:15:04 cl-t030-261cl su: pam_unix(su:session): session closed for
> user postgres
> 
> Jun  7 13:51:36 cl-t030-261cl sshd[32583]: Received disconnect from
> 189.19.82.231: 11: Bye Bye Jun  7 13:50:58 cl-t030-261cl sshd[32539]:
> Received disconnect from 189.19.82.231: 11: Bye Bye
> 
> 
> 
> Originalmente solo ocurria durante unas horas, pero en este momento esta
> asi casi todo el dia... Si bloqueo la direccion IP, despues de un rato
> comienza desde otra.
> 
> Y estas utlimas direcciones parece que viene de ahora de China...
> 
> Segun lei, ese "by-bye" es la firma de una herramienta de escaneo que al
> parecer NO es muy buena, pero sigue siendo usada...
> 
> 3. snort+snortsam
> 
> Aqui si. no tengo idea que heramientas son estas...
> Me pueden dar una breve descripcion?...
> 
> 
> Javier Delgado
> 
> El 07/06/2010 07:07 p.m.,
> 
> Gunnar Wolf escribió:
> > Luis Daniel Lucio Quiroz dijo [Sun, May 30, 2010 at 11:45:58AM -0500]:
> >> Tu problema es un clásico DoS, y es fácil evitarlo.  No tienes que
> >> cambiar nada.  Ahí te va como:  Son varias opciones:
> >> 
> >> 1. utiliza  mod_country de apache  y bloqueas todo rusia :)
> >> 2. crea una regla de iptables para establecer un threshold y bloquear
> >> las ips que tengan una tasa sécifica de hits/tiempo
> >> 3. utiliza snort+snortsam para detectar el ataque y bloquearlo
> >> 
> >> personalmente 1 y 3 son las más efectivas.
> >> 
> >> y siempre esta la 4
> >> 4. Contrata mis servicios profesionales :) jiji
> > 
> > ¿Y la 4. incluye que desactives el patrón agresivo en tus zombies? ;-)
> > 
> > 
> > 
> > 
> > 
> > No virus found in this incoming message.
> > Checked by AVG - www.avg.com
> > Version: 8.5.437 / Virus Database: 271.1.1/2923 - Release Date: 06/07/10
> > 06:35:00

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20100607/0cf6be43/attachment-0001.html>

Más información sobre la lista de distribución Ayuda