[AYUDA] servidor sobrecargado...

Paynalton cxescalona en gmail.com
Mar Jun 8 12:53:15 CDT 2010 

Oigan, creen que se trate de algún movimiento grande? yo tambien he revisado
mis log y tengo tambien ataques sobre smtp y ssh en dos servidores.

Si un ave no rompe su huevo morirá antes de nacer.
Nosotros somos el ave y el mundo es nuestro huevo.
POR LA REVOLUCIÓN DEL MUNDO!!!!

Ciudad de México


El 8 de junio de 2010 12:43, Javier Delgado <javierd en paralax.com.mx>escribió:

>  Hola Paynalton
>
> Como dato curioso, cuando apago apache y postix durante un minuto,, el
> ataque cesa, al menos durante unas horas.  Eso incluye los intentos de
> login... pero luego vuelve a continuar, desde otra direccion IP.
>
> Esto ya tiene un varios de meses,  al principio estuve bloqueando las
> direcciones ip desde iptables, pero con la facilidad que cambia de direccion
> Ip, no creo que sea muy practico.
>
> Por lo que estuve leyendo, el script de ataque que deja la firma "bye bye"
> es considerado como muy poco eficiente.. asi que el atacante debe tener o
> mucho tiempo libre... o muchos scripts automatizados programados en zombies
>
> Solo que utlimamente la intensidad a aumentado, al nivel de tirar al
> servidor. y eso me proecupa, pues ya esta afectando el rendimiento y el
> servicio que doy  a mis clientes.
>
> Con todo, ya recopile varias ideas para ponerl as a pruebra
>
> Javier
>
> El 08/06/2010 11:30 a.m., Paynalton escribió:
>
> Mira, si no cesa este tipo de ataque, pondrá sobre aviso al atacante de que
> te has percatado, de que estás tomando soluciones y puede que decida el
> sujeto buscar un blanco sin supervisión....
>
> Si un ave no rompe su huevo morirá antes de nacer.
> Nosotros somos el ave y el mundo es nuestro huevo.
> POR LA REVOLUCIÓN DEL MUNDO!!!!
>
> Ciudad de México
>
>
> El 8 de junio de 2010 10:52, Javier Delgado <javierd en paralax.com.mx>escribió:
>
>> Hola
>>
>> bueno... el dinero es parte de la razon, pero la otra es que me gusta
>> hacer las cosas por mi mismo.
>>
>> Desde hace 12 años, manejo mi propio servidor,  el que tengo actualmente
>> ya tiene 2 años, y me encarge de dar todo de alta, pero tampoco estoy metido
>> mucho en Linux...
>>
>> No tengo un servidor de pruebas... pero puedo formatear una maquina para
>> hacerlo.. olvide comentar que el que estoy usando esta fisicamente en
>> Canada...
>>
>> Ok.. deshabilitar root en SSH es una gran idea...
>>
>> Sin embargo tengo una duda... mas o menos en el transcurso de 10 horas.,
>> tengo unos 10,000 intentos de login.
>>
>> Con ese numero de logins,  tengo un load average de 0.2 a 0.6 lo cual es
>> tolerable...
>>
>> Entonces que es lo que causa que llege a un load average de 80?? que es
>> cuando se cae el servidor..
>>
>> Lo que me intriga es que si en ese momento, desactivo apache, postifx y
>> dovecot,  el load average baja hasta 0.1 lo que me suena mas a un DoS
>> attack. Concentrarme en bloquear los logins, evitara tambien este tipo de
>> ataque?
>>
>> No se si ya lo mencione... el servidor es un
>>
>> CentOS Linux 5.4,
>> *Kernel and CPU* Linux 2.6.18-164.15.1.el5 on x86_64
>> Administrado con Virtualmin.3.78.gpl
>>
>> Javier
>>
>> El 08/06/2010 10:13 a.m., GaRaGeD Style escribió:
>>
>>  Hola Javier
>>
>>  Te estas metiendo en honduras serias, entiendo que no has de tener
>> dinero para contratar a alguien capacitado, entonces tendras que poner de tu
>> parte, leer mucho, y experimentar, espero que al menos tengas un servidor
>> para pruebas.
>>
>>  Para empezar, lo mejor sería que deshabilites el acceso por ssh para
>> root, luego, modifica PAM (google es tu amigo) para que bloquee despues de
>> unos intentos la cuenta que están atacando (esta es una idea no tan buena,
>> saca conclusiones), y luego instala fail2ban para que bloquee por firewall
>> la IP de quien te ataca, aqui si te puedes dar el lujo de bloquear por
>> tiempos relativamente largos.
>>
>>  Este es un tema interesante, no es algo que vayas a lograr controlar en
>> unos días, de verdad necesitas leer, meterte a entender el sistema operativo
>> que estas usando como servidor.
>>
>>  Saludos
>> Max
>>
>> --
>> $ echo "scale=1000000; 4*a(1)" | bc -l
>>  --
>> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de correo
>> electrónico a ayuda-linux en googlegroups.com
>> Para anular la suscripción a este grupo, envía un mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o
>> http://www.compunauta.com/ayuda/
>>
>>
>>
>> No virus found in this incoming message.
>> Checked by AVG - www.avg.com
>> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00
>>
>>
>>
>>
>>
>> --
>> Javier Delgado Rosas
>>
>> ______________________JavierD en paralax.com.mxwww.paralax.com.mx
>>
>> En twitter:http://twitter.com/paralaxmultimed
>>
>>  --
>>  Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de correo
>> electrónico a ayuda-linux en googlegroups.com
>> Para anular la suscripción a este grupo, envía un mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o
>> http://www.compunauta.com/ayuda/
>>
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
>
>
> No virus found in this incoming message.
> Checked by AVG - www.avg.com
> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00
>
>
>
>
>
> --
> Javier Delgado Rosas
>
> ______________________JavierD en paralax.com.mxwww.paralax.com.mx
>
> En twitter:http://twitter.com/paralaxmultimed
>
>  --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20100608/5c53a0a8/attachment-0001.html>

Más información sobre la lista de distribución Ayuda