[AYUDA] servidor sobrecargado...

Vicente Guerra vic en guerra.com.mx
Mar Jun 8 12:47:43 CDT 2010 

     De tu mensaje, me hiciste revisar mi /var/log/messages...

     En dos días, he recibido algunos ataques de:

     1) De 10 a 30 intentos de ingresar como root (por ataque).
     2) Series de 20 minutos de intento de ingresar como root.

     En ambos tipos, el atacante se "cansa" de insistir, y ya...
por lo que seguramente son herramientas de búsqueda de puertos
libres, y al llegar a un punto, saltan a la siguiente IP. De
igual modo, los ataques de HTTP son relativamente mínimos.

     Ello me genera la duda... ¿será un ataque "personal" para tí
o tu servidor/dominio? Digo, por la insistencia...

Atte.
  Vic

On Tue, 8 Jun 2010, Javier Delgado wrote:

> Hola
>
> bueno... el dinero es parte de la razon, pero la otra es que me gusta hacer 
> las cosas por mi mismo.
>
> Desde hace 12 años, manejo mi propio servidor,  el que tengo actualmente ya 
> tiene 2 años, y me encarge de dar todo de alta, pero tampoco estoy metido 
> mucho en Linux...
>
> No tengo un servidor de pruebas... pero puedo formatear una maquina para 
> hacerlo.. olvide comentar que el que estoy usando esta fisicamente en 
> Canada...
>
> Ok.. deshabilitar root en SSH es una gran idea...
>
> Sin embargo tengo una duda... mas o menos en el transcurso de 10 horas., 
> tengo unos 10,000 intentos de login.
>
> Con ese numero de logins,  tengo un load average de 0.2 a 0.6 lo cual es 
> tolerable...
>
> Entonces que es lo que causa que llege a un load average de 80?? que es 
> cuando se cae el servidor..
>
> Lo que me intriga es que si en ese momento, desactivo apache, postifx y 
> dovecot,  el load average baja hasta 0.1 lo que me suena mas a un DoS attack. 
> Concentrarme en bloquear los logins, evitara tambien este tipo de ataque?
>
> No se si ya lo mencione... el servidor es un
>
> CentOS Linux 5.4,
> *Kernel and CPU* Linux 2.6.18-164.15.1.el5 on x86_64
> Administrado con Virtualmin.3.78.gpl
>
> Javier
>
> El 08/06/2010 10:13 a.m., GaRaGeD Style escribió:
>> Hola Javier
>> 
>> Te estas metiendo en honduras serias, entiendo que no has de tener dinero 
>> para contratar a alguien capacitado, entonces tendras que poner de tu 
>> parte, leer mucho, y experimentar, espero que al menos tengas un servidor 
>> para pruebas.
>> 
>> Para empezar, lo mejor sería que deshabilites el acceso por ssh para root, 
>> luego, modifica PAM (google es tu amigo) para que bloquee despues de unos 
>> intentos la cuenta que están atacando (esta es una idea no tan buena, saca 
>> conclusiones), y luego instala fail2ban para que bloquee por firewall la IP 
>> de quien te ataca, aqui si te puedes dar el lujo de bloquear por tiempos 
>> relativamente largos.
>> 
>> Este es un tema interesante, no es algo que vayas a lograr controlar en 
>> unos días, de verdad necesitas leer, meterte a entender el sistema 
>> operativo que estas usando como servidor.
>> 
>> Saludos
>> Max
>> 
>> -- 
>> $ echo "scale=1000000; 4*a(1)" | bc -l
>> -- 
>> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de correo
>> electrónico a ayuda-linux en googlegroups.com
>> Para anular la suscripción a este grupo, envía un mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o 
>> http://www.compunauta.com/ayuda/
>> 
>> 
>> 
>> No virus found in this incoming message.
>> Checked by AVG - www.avg.com
>> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 
>> 06:35:00
>>
>> 
>
>
> -- 
> Javier Delgado Rosas
>
> ______________________
> JavierD en paralax.com.mx
> www.paralax.com.mx
>
> En twitter:
> http://twitter.com/paralaxmultimed
>
> -- 
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o 
> http://www.compunauta.com/ayuda/

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/

Más información sobre la lista de distribución Ayuda