<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">
</head>
<body bgcolor="#ffffff" text="#000000">
<div>Hola..<br>
<br>
Ya se esta volviendo rutinario... generalmente a las 2 AM, mi servidor
comienza a recibir muchas solicitudes de login, muchas solicitudes DNS
invalidas, muchas solicitudes de paginas y no se que mas cosas,
usualmente todo viene de Rusia.<br>
<br>
Generalmente si lo detecto a tiempo, (antes de que el load average pase
de 80!!!) y desactivo durante un par de minutos apache, postifx y
dovecot, logro evitar que el servidor se caiga, de otra manera la unica
forma de logra el contacto, es apagar y reinicar el servidor. (nota:
fisicamente el servidor esta en canada, y tengo un switch remoto)<br>
<br>
Mi pregunta es .. hay forma de programar que si el load average pase de
cierto limite... desactive los servicios temporalmente?... <br>
<br>
Creo que es un ataque zombie, completamente automatico, pues no parece
ser muy inteligente... basta con que apague esos tres servicios durante
30 segundos, para que se interrumpa...<br>
<br>
Tengo apagados Telnet, FTP, mysql solo responde a llamadas locales, y
los intentos de login por ssh, si hay un login invalid, pospone unos
segundos antes de aceptar otro login, para frentar un ataque de <span
class="yshortcuts" id="lw_1275204317_0">fuerza bruta</span>...<br>
<br>
En el log del login se ve como van probando los usuarios en orden
alfabetico!!!<br>
<br>
Desgraciadamente no puedo bloquear la IP, porque viene de lugares
distintos, y tampoco puedo bloquear <span class="yshortcuts"
id="lw_1275204317_1">rusia</span>, porque uno de mis clientes tienen
negocios con ellos..<br>
<br>
Lo unico que se me ocurre es un script que cierre los servicios cuando
sube la carga, pefiero una interrupcion temporal del servicios, a estar
apagando y prendiendo el servidor, ademas de que no puedo estar todos
las madrugadas al pendiente..<br>
<br>
Cualquier sugerencia es bienvenida!!!<br>
</div>
<span class="yshortcuts" id="lw_1275204317_2">Javier Delgado</span><br>
<span><a rel="nofollow" target="_blank" href="http://www.paralax.com.mx"><span
class="yshortcuts" id="lw_1275204317_3">www.paralax.com.mx</span></a></span>
<div><br>
</div>
<pre class="moz-signature" cols="72">--
Javier Delgado Rosas
______________________
<a class="moz-txt-link-abbreviated" href="mailto:JavierD@paralax.com.mx">JavierD@paralax.com.mx</a>
<a class="moz-txt-link-abbreviated" href="http://www.paralax.com.mx">www.paralax.com.mx</a>
En twitter:
<a class="moz-txt-link-freetext" href="http://twitter.com/paralaxmultimed">http://twitter.com/paralaxmultimed</a></pre>
</body>
</html>
<p></p>
-- <br />
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"<br />
de Grupos de Google.<br />
Si quieres publicar en este grupo, envía un mensaje de correo<br />
electrónico a ayuda-linux@googlegroups.com<br />
Para anular la suscripción a este grupo, envía un mensaje a<br />
ayuda-linux-unsubscribe@googlegroups.com<br />
Para obtener más opciones, visita este grupo en<br />
<a href="http://groups.google.es/group/ayuda-linux?hl=es">http://groups.google.es/group/ayuda-linux?hl=es</a>. o <a href="http://www.compunauta.com/ayuda/">http://www.compunauta.com/ayuda/</a>