[AYUDA] servidor sobrecargado...

Javier Delgado javierd en paralax.com.mx
Dom Mayo 30 02:20:54 CDT 2010 

Hola..

Ya se esta volviendo rutinario... generalmente a las 2 AM, mi servidor 
comienza a recibir muchas solicitudes de login, muchas solicitudes DNS 
invalidas, muchas solicitudes de paginas  y no se que mas cosas, 
usualmente todo viene de Rusia.

Generalmente si lo detecto a tiempo, (antes de que el load average pase 
de 80!!!) y desactivo durante un par de minutos apache, postifx y 
dovecot, logro evitar que el servidor se caiga, de otra manera la unica 
forma de logra el contacto, es apagar y reinicar el servidor. (nota: 
fisicamente el servidor esta en canada, y tengo un switch remoto)

Mi pregunta es .. hay forma de programar que si el load average pase de 
cierto limite... desactive los servicios temporalmente?...

Creo que es un ataque zombie, completamente automatico, pues no parece 
ser muy inteligente... basta con que apague esos tres servicios durante 
30 segundos, para que se interrumpa...

Tengo apagados Telnet, FTP, mysql solo responde a llamadas locales,  y 
los intentos de login por ssh, si hay un login invalid, pospone unos 
segundos antes de aceptar otro login, para frentar un ataque de fuerza 
bruta...

En el log del login se ve como van probando los usuarios en orden 
alfabetico!!!

Desgraciadamente no puedo bloquear la IP, porque viene de lugares 
distintos, y tampoco puedo bloquear rusia, porque uno de mis clientes 
tienen negocios con ellos..

Lo unico que se me ocurre es un script que cierre los servicios cuando 
sube la carga, pefiero una interrupcion temporal del servicios, a estar 
apagando y prendiendo el servidor, ademas de que no puedo estar todos 
las madrugadas al pendiente..

Cualquier  sugerencia es bienvenida!!!
Javier Delgado
www.paralax.com.mx <http://www.paralax.com.mx>

-- 
Javier Delgado Rosas

______________________
JavierD en paralax.com.mx
www.paralax.com.mx

En twitter:
http://twitter.com/paralaxmultimed

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20100530/7fb888cc/attachment.html>

Más información sobre la lista de distribución Ayuda