[AYUDA] servidor sobrecargado...

Luis Daniel Lucio Quiroz luis.daniel.lucio en gmail.com
Dom Mayo 30 11:45:58 CDT 2010 

Le dimanche 30 mai 2010 02:20:54, Javier Delgado a écrit :
> Hola..
> 
> Ya se esta volviendo rutinario... generalmente a las 2 AM, mi servidor
> comienza a recibir muchas solicitudes de login, muchas solicitudes DNS
> invalidas, muchas solicitudes de paginas  y no se que mas cosas,
> usualmente todo viene de Rusia.
> 
> Generalmente si lo detecto a tiempo, (antes de que el load average pase
> de 80!!!) y desactivo durante un par de minutos apache, postifx y
> dovecot, logro evitar que el servidor se caiga, de otra manera la unica
> forma de logra el contacto, es apagar y reinicar el servidor. (nota:
> fisicamente el servidor esta en canada, y tengo un switch remoto)
> 
> Mi pregunta es .. hay forma de programar que si el load average pase de
> cierto limite... desactive los servicios temporalmente?...
> 
> Creo que es un ataque zombie, completamente automatico, pues no parece
> ser muy inteligente... basta con que apague esos tres servicios durante
> 30 segundos, para que se interrumpa...
> 
> Tengo apagados Telnet, FTP, mysql solo responde a llamadas locales,  y
> los intentos de login por ssh, si hay un login invalid, pospone unos
> segundos antes de aceptar otro login, para frentar un ataque de fuerza
> bruta...
> 
> En el log del login se ve como van probando los usuarios en orden
> alfabetico!!!
> 
> Desgraciadamente no puedo bloquear la IP, porque viene de lugares
> distintos, y tampoco puedo bloquear rusia, porque uno de mis clientes
> tienen negocios con ellos..
> 
> Lo unico que se me ocurre es un script que cierre los servicios cuando
> sube la carga, pefiero una interrupcion temporal del servicios, a estar
> apagando y prendiendo el servidor, ademas de que no puedo estar todos
> las madrugadas al pendiente..
> 
> Cualquier  sugerencia es bienvenida!!!
> Javier Delgado
> www.paralax.com.mx <http://www.paralax.com.mx>


Tu problema es un clásico DoS, y es fácil evitarlo.  No tienes que cambiar 
nada.  Ahí te va como:  Son varias opciones:

1. utiliza  mod_country de apache  y bloqueas todo rusia :)
2. crea una regla de iptables para establecer un threshold y bloquear las ips 
que tengan una tasa sécifica de hits/tiempo
3. utiliza snort+snortsam para detectar el ataque y bloquearlo

personalmente 1 y 3 son las más efectivas.

y siempre esta la 4
4. Contrata mis servicios profesionales :) jiji


LD

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/

Más información sobre la lista de distribución Ayuda