[AYUDA] servidor sobrecargado...
Javier Delgado
javierd en paralax.com.mx
Mie Jun 9 10:37:30 CDT 2010
Desde que tuve mi primer servidor web, he tenido ataques con cierta
regularidad.
Pero antes eran esporadicos, ahora son casi cotidianos y sobre todo que
ahora ya comienzan a impactar en la capacidad del servidor.
Imagino de de lograr entrar, insertarian scripts para usar mi servidor
para atacar otros, ademas de usarlos para spam y algunas otras
actividades lucrativas, el unico consuelo que tengo, es que los intentos
no parecen ser muy sofisticados..
Otro factor, claro, es el spam, tengo instalado spam Assasin, pero
ultimamente lo he tenido que desactivar, (para molestia de mis
clientes), pero el volumen de SPAM a crecido tanto el SPAM Assasin
comienza a consumir demasiados recursos... arghh...
En fin, la red es un mundo menos amable que hace 15 años... :(
Javier Delgado
El 08/06/2010 12:53 p.m., Paynalton escribió:
> Oigan, creen que se trate de algún movimiento grande? yo tambien he
> revisado mis log y tengo tambien ataques sobre smtp y ssh en dos
> servidores.
>
> Si un ave no rompe su huevo morirá antes de nacer.
> Nosotros somos el ave y el mundo es nuestro huevo.
> POR LA REVOLUCIÓN DEL MUNDO!!!!
>
> Ciudad de México
>
>
> El 8 de junio de 2010 12:43, Javier Delgado <javierd en paralax.com.mx
> <mailto:javierd en paralax.com.mx>> escribió:
>
> Hola Paynalton
>
> Como dato curioso, cuando apago apache y postix durante un
> minuto,, el ataque cesa, al menos durante unas horas. Eso incluye
> los intentos de login... pero luego vuelve a continuar, desde otra
> direccion IP.
>
> Esto ya tiene un varios de meses, al principio estuve bloqueando
> las direcciones ip desde iptables, pero con la facilidad que
> cambia de direccion Ip, no creo que sea muy practico.
>
> Por lo que estuve leyendo, el script de ataque que deja la firma
> "bye bye" es considerado como muy poco eficiente.. asi que el
> atacante debe tener o mucho tiempo libre... o muchos scripts
> automatizados programados en zombies
>
> Solo que utlimamente la intensidad a aumentado, al nivel de tirar
> al servidor. y eso me proecupa, pues ya esta afectando el
> rendimiento y el servicio que doy a mis clientes.
>
> Con todo, ya recopile varias ideas para ponerl as a pruebra
>
> Javier
>
> El 08/06/2010 11:30 a.m., Paynalton escribió:
>> Mira, si no cesa este tipo de ataque, pondrá sobre aviso al
>> atacante de que te has percatado, de que estás tomando soluciones
>> y puede que decida el sujeto buscar un blanco sin supervisión....
>>
>> Si un ave no rompe su huevo morirá antes de nacer.
>> Nosotros somos el ave y el mundo es nuestro huevo.
>> POR LA REVOLUCIÓN DEL MUNDO!!!!
>>
>> Ciudad de México
>>
>>
>> El 8 de junio de 2010 10:52, Javier Delgado
>> <javierd en paralax.com.mx <mailto:javierd en paralax.com.mx>> escribió:
>>
>> Hola
>>
>> bueno... el dinero es parte de la razon, pero la otra es que
>> me gusta hacer las cosas por mi mismo.
>>
>> Desde hace 12 años, manejo mi propio servidor, el que tengo
>> actualmente ya tiene 2 años, y me encarge de dar todo de
>> alta, pero tampoco estoy metido mucho en Linux...
>>
>> No tengo un servidor de pruebas... pero puedo formatear una
>> maquina para hacerlo.. olvide comentar que el que estoy
>> usando esta fisicamente en Canada...
>>
>> Ok.. deshabilitar root en SSH es una gran idea...
>>
>> Sin embargo tengo una duda... mas o menos en el transcurso de
>> 10 horas., tengo unos 10,000 intentos de login.
>>
>> Con ese numero de logins, tengo un load average de 0.2 a 0.6
>> lo cual es tolerable...
>>
>> Entonces que es lo que causa que llege a un load average de
>> 80?? que es cuando se cae el servidor..
>>
>> Lo que me intriga es que si en ese momento, desactivo apache,
>> postifx y dovecot, el load average baja hasta 0.1 lo que me
>> suena mas a un DoS attack. Concentrarme en bloquear los
>> logins, evitara tambien este tipo de ataque?
>>
>> No se si ya lo mencione... el servidor es un
>>
>> CentOS Linux 5.4,
>> *Kernel and CPU* Linux 2.6.18-164.15.1.el5 on x86_64
>> Administrado con Virtualmin.3.78.gpl
>>
>> Javier
>>
>> El 08/06/2010 10:13 a.m., GaRaGeD Style escribió:
>>> Hola Javier
>>>
>>> Te estas metiendo en honduras serias, entiendo que no has de
>>> tener dinero para contratar a alguien capacitado, entonces
>>> tendras que poner de tu parte, leer mucho, y experimentar,
>>> espero que al menos tengas un servidor para pruebas.
>>>
>>> Para empezar, lo mejor sería que deshabilites el acceso por
>>> ssh para root, luego, modifica PAM (google es tu amigo) para
>>> que bloquee despues de unos intentos la cuenta que están
>>> atacando (esta es una idea no tan buena, saca conclusiones),
>>> y luego instala fail2ban para que bloquee por firewall la IP
>>> de quien te ataca, aqui si te puedes dar el lujo de bloquear
>>> por tiempos relativamente largos.
>>>
>>> Este es un tema interesante, no es algo que vayas a lograr
>>> controlar en unos días, de verdad necesitas leer, meterte a
>>> entender el sistema operativo que estas usando como servidor.
>>>
>>> Saludos
>>> Max
>>>
>>> --
>>> $ echo "scale=1000000; 4*a(1)" | bc -l
>>> --
>>> Has recibido este mensaje porque estás suscrito a Grupo
>>> "ayuda-linux"
>>> de Grupos de Google.
>>> Si quieres publicar en este grupo, envía un mensaje de correo
>>> electrónico a ayuda-linux en googlegroups.com
>>> <mailto:ayuda-linux en googlegroups.com>
>>> Para anular la suscripción a este grupo, envía un mensaje a
>>> ayuda-linux-unsubscribe en googlegroups.com
>>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
>>> Para obtener más opciones, visita este grupo en
>>> http://groups.google.es/group/ayuda-linux?hl=es. o
>>> http://www.compunauta.com/ayuda/
>>>
>>>
>>>
>>> No virus found in this incoming message.
>>> Checked by AVG -www.avg.com <http://www.avg.com>
>>> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00
>>>
>>>
>>
>>
>> --
>> Javier Delgado Rosas
>>
>> ______________________
>> JavierD en paralax.com.mx <mailto:JavierD en paralax.com.mx>
>> www.paralax.com.mx <http://www.paralax.com.mx>
>>
>> En twitter:
>> http://twitter.com/paralaxmultimed
>>
>> --
>> Has recibido este mensaje porque estás suscrito a Grupo
>> "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de correo
>> electrónico a ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> Para anular la suscripción a este grupo, envía un mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o
>> http://www.compunauta.com/ayuda/
>>
>>
>> --
>> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
>> de Grupos de Google.
>> Si quieres publicar en este grupo, envía un mensaje de correo
>> electrónico a ayuda-linux en googlegroups.com
>> <mailto:ayuda-linux en googlegroups.com>
>> Para anular la suscripción a este grupo, envía un mensaje a
>> ayuda-linux-unsubscribe en googlegroups.com
>> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
>> Para obtener más opciones, visita este grupo en
>> http://groups.google.es/group/ayuda-linux?hl=es. o
>> http://www.compunauta.com/ayuda/
>>
>>
>>
>> No virus found in this incoming message.
>> Checked by AVG -www.avg.com <http://www.avg.com>
>> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00
>>
>>
>
>
> --
> Javier Delgado Rosas
>
> ______________________
> JavierD en paralax.com.mx <mailto:JavierD en paralax.com.mx>
> www.paralax.com.mx <http://www.paralax.com.mx>
>
> En twitter:
> http://twitter.com/paralaxmultimed
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> <mailto:ayuda-linux en googlegroups.com>
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> <mailto:ayuda-linux-unsubscribe en googlegroups.com>
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
>
>
> No virus found in this incoming message.
> Checked by AVG - www.avg.com
> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00
>
>
--
Javier Delgado Rosas
______________________
JavierD en paralax.com.mx
www.paralax.com.mx
En twitter:
http://twitter.com/paralaxmultimed
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20100609/bc8cfc67/attachment.html>
Más información sobre la lista de distribución Ayuda