[AYUDA] servidor sobrecargado...

Javier Delgado javierd en paralax.com.mx
Mar Jun 8 13:20:29 CDT 2010 

Pues yo sospecho que es un ataque zombie.

Estoy rentando un servidor y este, esta dentro de un grupo de varios 
cientos de servidores compartiendo el mismo nodo.
Sospecho que la mayor parte de los servidores estan bajo este tipo de 
ataque, y simplemente los dejan trabajar.  conque entren dentro de 
alguno de vez en cuando, tiene suficiente para sus fines..

Javier


l 08/06/2010 12:47 p.m., Vicente Guerra escribió:
>     De tu mensaje, me hiciste revisar mi /var/log/messages...
>
>     En dos días, he recibido algunos ataques de:
>
>     1) De 10 a 30 intentos de ingresar como root (por ataque).
>     2) Series de 20 minutos de intento de ingresar como root.
>
>     En ambos tipos, el atacante se "cansa" de insistir, y ya...
> por lo que seguramente son herramientas de búsqueda de puertos
> libres, y al llegar a un punto, saltan a la siguiente IP. De
> igual modo, los ataques de HTTP son relativamente mínimos.
>
>     Ello me genera la duda... ¿será un ataque "personal" para tí
> o tu servidor/dominio? Digo, por la insistencia...
>
> Atte.
>  Vic
>
> On Tue, 8 Jun 2010, Javier Delgado wrote:
>
>> Hola
>>
>> bueno... el dinero es parte de la razon, pero la otra es que me gusta 
>> hacer las cosas por mi mismo.
>>
>> Desde hace 12 años, manejo mi propio servidor,  el que tengo 
>> actualmente ya tiene 2 años, y me encarge de dar todo de alta, pero 
>> tampoco estoy metido mucho en Linux...
>>
>> No tengo un servidor de pruebas... pero puedo formatear una maquina 
>> para hacerlo.. olvide comentar que el que estoy usando esta 
>> fisicamente en Canada...
>>
>> Ok.. deshabilitar root en SSH es una gran idea...
>>
>> Sin embargo tengo una duda... mas o menos en el transcurso de 10 
>> horas., tengo unos 10,000 intentos de login.
>>
>> Con ese numero de logins,  tengo un load average de 0.2 a 0.6 lo cual 
>> es tolerable...
>>
>> Entonces que es lo que causa que llege a un load average de 80?? que 
>> es cuando se cae el servidor..
>>
>> Lo que me intriga es que si en ese momento, desactivo apache, postifx 
>> y dovecot,  el load average baja hasta 0.1 lo que me suena mas a un 
>> DoS attack. Concentrarme en bloquear los logins, evitara tambien este 
>> tipo de ataque?
>>
>> No se si ya lo mencione... el servidor es un
>>
>> CentOS Linux 5.4,
>> *Kernel and CPU* Linux 2.6.18-164.15.1.el5 on x86_64
>> Administrado con Virtualmin.3.78.gpl
>>
>> Javier
>>
>> El 08/06/2010 10:13 a.m., GaRaGeD Style escribió:
>>> Hola Javier
>>>
>>> Te estas metiendo en honduras serias, entiendo que no has de tener 
>>> dinero para contratar a alguien capacitado, entonces tendras que 
>>> poner de tu parte, leer mucho, y experimentar, espero que al menos 
>>> tengas un servidor para pruebas.
>>>
>>> Para empezar, lo mejor sería que deshabilites el acceso por ssh para 
>>> root, luego, modifica PAM (google es tu amigo) para que bloquee 
>>> despues de unos intentos la cuenta que están atacando (esta es una 
>>> idea no tan buena, saca conclusiones), y luego instala fail2ban para 
>>> que bloquee por firewall la IP de quien te ataca, aqui si te puedes 
>>> dar el lujo de bloquear por tiempos relativamente largos.
>>>
>>> Este es un tema interesante, no es algo que vayas a lograr controlar 
>>> en unos días, de verdad necesitas leer, meterte a entender el 
>>> sistema operativo que estas usando como servidor.
>>>
>>> Saludos
>>> Max
>>>
>>> -- 
>>> $ echo "scale=1000000; 4*a(1)" | bc -l
>>> -- 
>>> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
>>> de Grupos de Google.
>>> Si quieres publicar en este grupo, envía un mensaje de correo
>>> electrónico a ayuda-linux en googlegroups.com
>>> Para anular la suscripción a este grupo, envía un mensaje a
>>> ayuda-linux-unsubscribe en googlegroups.com
>>> Para obtener más opciones, visita este grupo en
>>> http://groups.google.es/group/ayuda-linux?hl=es. o 
>>> http://www.compunauta.com/ayuda/
>>>
>>>
>>>
>>> No virus found in this incoming message.
>>> Checked by AVG - www.avg.com
>>> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 
>>> 06/08/10 06:35:00
>>>
>>>
>>
>>
>> -- 
>> Javier Delgado Rosas
>>
>> ______________________
>> JavierD en paralax.com.mx
>> www.paralax.com.mx
>>
>> En twitter:
>> http://twitter.com/paralaxmultimed
>>
>> -- 
>> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de correo
>> electrónico a ayuda-linux en googlegroups.com
>> Para anular la suscripción a este grupo, envía un mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o 
>> http://www.compunauta.com/ayuda/
>
>
>
> No virus found in this incoming message.
> Checked by AVG - www.avg.com
> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00
>
>    


-- 
Javier Delgado Rosas

______________________
JavierD en paralax.com.mx
www.paralax.com.mx

En twitter:
http://twitter.com/paralaxmultimed

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20100608/6992905e/attachment-0001.html>

Más información sobre la lista de distribución Ayuda