[AYUDA] servidor sobrecargado...

Paynalton cxescalona en gmail.com
Mie Jun 9 11:04:27 CDT 2010


por algún lado leí sobre los inconvenientes de cerrar ICMP, pues afecta al
rendimiento del protocolo TCP.

Tengo entendido que en un primer intento, cuando dos equipos van a
establecer una conexión se mandan un paquete ICMP para determinar el MTU
máximo a utilizar durante la transferencia de TCP, pero cuando el ICMP está
bloqueado entonces no es posible determinar el MTU, de manera que "Adivinan"
el MTU lmandando paquetes primero lentamente y luego cada vez más rápido
hasta que se empiezan a perder, y entonces bajan la velocidad al máximo
posible sin perder paquetes.

Eso provoca un retraso en la transferencia, pues con un MTU bien establecido
no es necesario realizar esa prueba y desde el principio los paquetes se
mandan con la misma velocidad.

Si un ave no rompe su huevo morirá antes de nacer.
Nosotros somos el ave y el mundo es nuestro huevo.
POR LA REVOLUCIÓN DEL MUNDO!!!!

Ciudad de México


El 9 de junio de 2010 10:55, Miguel Guirao
<miguel.guirao en mail.telcel.com>escribió:

>  Y lo peor de todo es que diras dentro de 15 años que la red no es como
> solía ser ahora!!!
>
>
>
> Lo que creo que has tenido con scaneos intentando encontrar alguna
> vulnerabilidad en tus sistemas para explotarla y se convierta en un vector
> de ataque.
>
> Ciertamente, buscaran instalar scripts (bakdoors, Troyanos o algun tipo de
> rootkits) para mantener acceso a tu sistema.
>
>
>
> Apoyate con un IDS, bloquea  los puertos que no requieres, ejemplo ICMP
> desde Internet a tus sistemas!!  Si es que no lo requieres!!
>
>
>
> Lo mejor es tomar una aproximación por capas, comenzando desde tu equipo de
> frontera, y de ahí ir bajando hasta llegar a los sistemas finales (AV,
> anty-spyware, etc),  que tan sofisticado sea?? Eso dependera del $$$
> destinado a InfoSec y de la sensibilidad de la info, sistemas que deseas
> proteger!!
>
>
>
> Pueden consultar NIST para obtener unas guías de hardening, hay otros
> sitios donde hay templates para hardening y que son acompañados por un
> benchmark para validar que tanto te apegas al template de seguridad que
> ellos proponen en base a un consenso. Este template tu lo puedes
> regionalizar!!!
>
>
>
> My two niquel cents!!
>
>
>
> Chicolinux!!
>
>
>  ------------------------------
>
> *From:* ayuda-linux en googlegroups.com [mailto:ayuda-linux en googlegroups.com]
> *On Behalf Of *Javier Delgado
> *Sent:* Wednesday, June 09, 2010 10:38 AM
>
> *To:* ayuda-linux en googlegroups.com
> *Subject:* Re: [AYUDA] servidor sobrecargado...
>
>
>
> Desde que tuve mi primer servidor web, he tenido ataques con cierta
> regularidad.
>
>
> Pero antes eran esporadicos, ahora son casi cotidianos y sobre todo que
> ahora ya comienzan a impactar en la capacidad del servidor.
>
> Imagino de de lograr entrar, insertarian scripts para usar mi servidor para
> atacar otros, ademas de usarlos para spam y algunas otras actividades
> lucrativas, el unico consuelo que tengo, es que los intentos no parecen ser
> muy sofisticados..
>
> Otro factor, claro, es el spam, tengo instalado spam Assasin, pero
> ultimamente lo he tenido que desactivar, (para molestia de mis clientes),
> pero el volumen de SPAM a crecido tanto el SPAM Assasin comienza a consumir
> demasiados recursos... arghh...
>
> En fin, la red es un mundo menos amable que hace 15 años...  :(
>
> Javier Delgado
>
>
> El 08/06/2010 12:53 p.m., Paynalton escribió:
>
> Oigan, creen que se trate de algún movimiento grande? yo tambien he
> revisado mis log y tengo tambien ataques sobre smtp y ssh en dos servidores.
>
> Si un ave no rompe su huevo morirá antes de nacer.
> Nosotros somos el ave y el mundo es nuestro huevo.
> POR LA REVOLUCIÓN DEL MUNDO!!!!
>
> Ciudad de México
>
>  El 8 de junio de 2010 12:43, Javier Delgado <javierd en paralax.com.mx>
> escribió:
>
> Hola Paynalton
>
> Como dato curioso, cuando apago apache y postix durante un minuto,, el
> ataque cesa, al menos durante unas horas.  Eso incluye los intentos de
> login... pero luego vuelve a continuar, desde otra direccion IP.
>
> Esto ya tiene un varios de meses,  al principio estuve bloqueando las
> direcciones ip desde iptables, pero con la facilidad que cambia de direccion
> Ip, no creo que sea muy practico.
>
> Por lo que estuve leyendo, el script de ataque que deja la firma "bye bye"
> es considerado como muy poco eficiente.. asi que el atacante debe tener o
> mucho tiempo libre... o muchos scripts automatizados programados en zombies
>
> Solo que utlimamente la intensidad a aumentado, al nivel de tirar al
> servidor. y eso me proecupa, pues ya esta afectando el rendimiento y el
> servicio que doy  a mis clientes.
>
> Con todo, ya recopile varias ideas para ponerl as a pruebra
>
> Javier
>
> El 08/06/2010 11:30 a.m., Paynalton escribió:
>
> Mira, si no cesa este tipo de ataque, pondrá sobre aviso al atacante de que
> te has percatado, de que estás tomando soluciones y puede que decida el
> sujeto buscar un blanco sin supervisión....
>
> Si un ave no rompe su huevo morirá antes de nacer.
> Nosotros somos el ave y el mundo es nuestro huevo.
> POR LA REVOLUCIÓN DEL MUNDO!!!!
>
> Ciudad de México
>
>  El 8 de junio de 2010 10:52, Javier Delgado <javierd en paralax.com.mx>
> escribió:
>
> Hola
>
> bueno... el dinero es parte de la razon, pero la otra es que me gusta hacer
> las cosas por mi mismo.
>
> Desde hace 12 años, manejo mi propio servidor,  el que tengo actualmente ya
> tiene 2 años, y me encarge de dar todo de alta, pero tampoco estoy metido
> mucho en Linux...
>
> No tengo un servidor de pruebas... pero puedo formatear una maquina para
> hacerlo.. olvide comentar que el que estoy usando esta fisicamente en
> Canada...
>
> Ok.. deshabilitar root en SSH es una gran idea...
>
> Sin embargo tengo una duda... mas o menos en el transcurso de 10 horas.,
> tengo unos 10,000 intentos de login.
>
> Con ese numero de logins,  tengo un load average de 0.2 a 0.6 lo cual es
> tolerable...
>
> Entonces que es lo que causa que llege a un load average de 80?? que es
> cuando se cae el servidor..
>
> Lo que me intriga es que si en ese momento, desactivo apache, postifx y
> dovecot,  el load average baja hasta 0.1 lo que me suena mas a un DoS
> attack. Concentrarme en bloquear los logins, evitara tambien este tipo de
> ataque?
>
> No se si ya lo mencione... el servidor es un
>
> CentOS Linux 5.4,
> *Kernel and CPU* Linux 2.6.18-164.15.1.el5 on x86_64
> Administrado con Virtualmin.3.78.gpl
>
> Javier
>
> El 08/06/2010 10:13 a.m., GaRaGeD Style escribió:
>
> Hola Javier
>
>
>
> Te estas metiendo en honduras serias, entiendo que no has de tener dinero
> para contratar a alguien capacitado, entonces tendras que poner de tu parte,
> leer mucho, y experimentar, espero que al menos tengas un servidor para
> pruebas.
>
>
>
> Para empezar, lo mejor sería que deshabilites el acceso por ssh para root,
> luego, modifica PAM (google es tu amigo) para que bloquee despues de unos
> intentos la cuenta que están atacando (esta es una idea no tan buena, saca
> conclusiones), y luego instala fail2ban para que bloquee por firewall la IP
> de quien te ataca, aqui si te puedes dar el lujo de bloquear por tiempos
> relativamente largos.
>
>
>
> Este es un tema interesante, no es algo que vayas a lograr controlar en
> unos días, de verdad necesitas leer, meterte a entender el sistema operativo
> que estas usando como servidor.
>
>
>
> Saludos
>
> Max
>
> --
> $ echo "scale=1000000; 4*a(1)" | bc -l
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
>
>
>
>
> No virus found in this incoming message.
>
> Checked by AVG - www.avg.com
>
> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00
>
>
>
>
>
>
>
>
>  --
>
> Javier Delgado Rosas
>
>
>
> ______________________
>
> JavierD en paralax.com.mx
>
> www.paralax.com.mx
>
>
>
> En twitter:
>
> http://twitter.com/paralaxmultimed
>
>  --
>
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
>
>
>
>
> No virus found in this incoming message.
>
> Checked by AVG - www.avg.com
>
> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00
>
>
>
>
>
>
>
>
>  --
>
> Javier Delgado Rosas
>
>
>
> ______________________
>
> JavierD en paralax.com.mx
>
> www.paralax.com.mx
>
>
>
> En twitter:
>
> http://twitter.com/paralaxmultimed
>
>   --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
>
>
>
>
>
>
> No virus found in this incoming message.
>
> Checked by AVG - www.avg.com
>
> Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00
>
>
>
>
>
>
>
>
>  --
>
> Javier Delgado Rosas
>
>
>
> ______________________
>
> JavierD en paralax.com.mx
>
> www.paralax.com.mx
>
>
>
> En twitter:
>
> http://twitter.com/paralaxmultimed
>
>  --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/
>

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20100609/9bde1666/attachment-0001.html>


Más información sobre la lista de distribución Ayuda