Oigan, creen que se trate de algún movimiento grande? yo tambien he revisado mis log y tengo tambien ataques sobre smtp y ssh en dos servidores.<br><br clear="all">Si un ave no rompe su huevo morirá antes de nacer.<br>Nosotros somos el ave y el mundo es nuestro huevo.<br>

POR LA REVOLUCIÓN DEL MUNDO!!!!<br><br>Ciudad de México<br>
<br><br><div class="gmail_quote">El 8 de junio de 2010 12:43, Javier Delgado <span dir="ltr"><<a href="mailto:javierd@paralax.com.mx">javierd@paralax.com.mx</a>></span> escribió:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">




  

<div bgcolor="#ffffff" text="#000000">
Hola Paynalton<br>
<br>
Como dato curioso, cuando apago apache y postix durante un minuto,, el
ataque cesa, al menos durante unas horas.  Eso incluye los intentos de
login... pero luego vuelve a continuar, desde otra direccion IP. <br>
<br>
Esto ya tiene un varios de meses,  al principio estuve bloqueando las
direcciones ip desde iptables, pero con la facilidad que cambia de
direccion Ip, no creo que sea muy practico.<br>
<br>
Por lo que estuve leyendo, el script de ataque que deja la firma "bye
bye" es considerado como muy poco eficiente.. asi que el atacante debe
tener o mucho tiempo libre... o muchos scripts automatizados
programados en zombies<br>
<br>
Solo que utlimamente la intensidad a aumentado, al nivel de tirar al
servidor. y eso me proecupa, pues ya esta afectando el rendimiento y el
servicio que doy  a mis clientes.<br>
<br>
Con todo, ya recopile varias ideas para ponerl as a pruebra<br>
<br>
Javier<br>
<br>
El 08/06/2010 11:30 a.m., Paynalton escribió:
<div><div></div><div class="h5"><blockquote type="cite">Mira, si no cesa este tipo de ataque, pondrá sobre aviso
al atacante de que te has percatado, de que estás tomando soluciones y
puede que decida el sujeto buscar un blanco sin supervisión....<br>
  <br clear="all">
Si un ave no rompe su huevo morirá antes de nacer.<br>
Nosotros somos el ave y el mundo es nuestro huevo.<br>
POR LA REVOLUCIÓN DEL MUNDO!!!!<br>
  <br>
Ciudad de México<br>
  <br>
  <br>
  <div class="gmail_quote">El 8 de junio de 2010 10:52, Javier Delgado <span dir="ltr"><<a href="mailto:javierd@paralax.com.mx" target="_blank">javierd@paralax.com.mx</a>></span>
escribió:<br>
  <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
    <div bgcolor="#ffffff" text="#000000">Hola<br>
    <br>
bueno... el dinero es parte de la razon, pero la otra es que me gusta
hacer las cosas por mi mismo.<br>
    <br>
Desde hace 12 años, manejo mi propio servidor,  el que tengo
actualmente ya tiene 2 años, y me encarge de dar todo de alta, pero
tampoco estoy metido mucho en Linux...<br>
    <br>
No tengo un servidor de pruebas... pero puedo formatear una maquina
para hacerlo.. olvide comentar que el que estoy usando esta fisicamente
en Canada...<br>
    <br>
Ok.. deshabilitar root en SSH es una gran idea... <br>
    <br>
Sin embargo tengo una duda... mas o menos en el transcurso de 10
horas., tengo unos 10,000 intentos de login.<br>
    <br>
Con ese numero de logins,  tengo un load average de 0.2 a 0.6 lo cual
es tolerable...<br>
    <br>
Entonces que es lo que causa que llege a un load average de 80?? que es
cuando se cae el servidor..<br>
    <br>
Lo que me intriga es que si en ese momento, desactivo apache, postifx y
dovecot,  el load average baja hasta 0.1 lo que me suena mas a un DoS
attack. Concentrarme en bloquear los logins, evitara tambien este tipo
de ataque?<br>
    <br>
No se si ya lo mencione... el servidor es un<br>
    <br>
CentOS Linux 5.4,<br>
    <b>Kernel and CPU</b>
Linux 2.6.18-164.15.1.el5 on x86_64<br>
Administrado con Virtualmin.3.78.gpl <br>
    <br>
Javier<br>
    <br>
El 08/06/2010 10:13 a.m., GaRaGeD Style escribió:
    <blockquote type="cite">
      <div>
      <div>Hola Javier
      <div><br>
      </div>
      <div>Te estas metiendo en honduras serias, entiendo que no has de
tener dinero para contratar a alguien capacitado, entonces tendras que
poner de tu parte, leer mucho, y experimentar, espero que al menos
tengas un servidor para pruebas.</div>
      <div><br>
      </div>
      <div>Para empezar, lo mejor sería que deshabilites el acceso por
ssh
para root, luego, modifica PAM (google es tu amigo) para que bloquee
despues de unos intentos la cuenta que están atacando (esta es una idea
no tan buena, saca conclusiones), y luego instala fail2ban para que
bloquee por firewall la IP de quien te ataca, aqui si te puedes dar el
lujo de bloquear por tiempos relativamente largos.</div>
      <div><br>
      </div>
      <div>Este es un tema interesante, no es algo que vayas a lograr
controlar en unos días, de verdad necesitas leer, meterte a entender el
sistema operativo que estas usando como servidor.</div>
      <div><br>
      </div>
      <div>Saludos</div>
      <div>Max<br clear="all">
      <br>
-- <br>
$ echo "scale=1000000; 4*a(1)" | bc -l<br>
      </div>
-- <br>
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"<br>
de Grupos de Google.<br>
Si quieres publicar en este grupo, envía un mensaje de correo<br>
electrónico a <a href="mailto:ayuda-linux@googlegroups.com" target="_blank">ayuda-linux@googlegroups.com</a><br>
Para anular la suscripción a este grupo, envía un mensaje a<br>
      <a href="mailto:ayuda-linux-unsubscribe@googlegroups.com" target="_blank">ayuda-linux-unsubscribe@googlegroups.com</a><br>
Para obtener más opciones, visita este grupo en<br>
      <a href="http://groups.google.es/group/ayuda-linux?hl=es" target="_blank">http://groups.google.es/group/ayuda-linux?hl=es</a>.
o
      <a href="http://www.compunauta.com/ayuda/" target="_blank">http://www.compunauta.com/ayuda/</a> </div>
      </div>
      <pre><fieldset></fieldset>

No virus found in this incoming message.
Checked by AVG - <a href="http://www.avg.com" target="_blank">www.avg.com</a> 
Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00

  </pre>
    </blockquote>
    <div><br>
    <br>
    <pre cols="72">-- 
Javier Delgado Rosas

______________________
<a href="mailto:JavierD@paralax.com.mx" target="_blank">JavierD@paralax.com.mx</a>
<a href="http://www.paralax.com.mx" target="_blank">www.paralax.com.mx</a>

En twitter:
<a href="http://twitter.com/paralaxmultimed" target="_blank">http://twitter.com/paralaxmultimed</a></pre>
    </div>
    </div>
-- <br>
    <div>
    <div>Has recibido este mensaje porque estás suscrito a
Grupo "ayuda-linux"<br>
de Grupos de Google.<br>
Si quieres publicar en este grupo, envía un mensaje de correo<br>
electrónico a <a href="mailto:ayuda-linux@googlegroups.com" target="_blank">ayuda-linux@googlegroups.com</a><br>
Para anular la suscripción a este grupo, envía un mensaje a<br>
    <a href="mailto:ayuda-linux-unsubscribe@googlegroups.com" target="_blank">ayuda-linux-unsubscribe@googlegroups.com</a><br>
Para obtener más opciones, visita este grupo en<br>
    <a href="http://groups.google.es/group/ayuda-linux?hl=es" target="_blank">http://groups.google.es/group/ayuda-linux?hl=es</a>.
o <a href="http://www.compunauta.com/ayuda/" target="_blank">http://www.compunauta.com/ayuda/</a></div>
    </div>
  </blockquote>
  </div>
  <br>
-- <br>
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"<br>
de Grupos de Google.<br>
Si quieres publicar en este grupo, envía un mensaje de correo<br>
electrónico a <a href="mailto:ayuda-linux@googlegroups.com" target="_blank">ayuda-linux@googlegroups.com</a><br>
Para anular la suscripción a este grupo, envía un mensaje a<br>
<a href="mailto:ayuda-linux-unsubscribe@googlegroups.com" target="_blank">ayuda-linux-unsubscribe@googlegroups.com</a><br>
Para obtener más opciones, visita este grupo en<br>
  <a href="http://groups.google.es/group/ayuda-linux?hl=es" target="_blank">http://groups.google.es/group/ayuda-linux?hl=es</a>.
o <a href="http://www.compunauta.com/ayuda/" target="_blank">http://www.compunauta.com/ayuda/</a>
  <pre><fieldset></fieldset>

No virus found in this incoming message.
Checked by AVG - <a href="http://www.avg.com" target="_blank">www.avg.com</a> 
Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00

  </pre>
</blockquote>
<br>
<br>
<pre cols="72">-- 
Javier Delgado Rosas

______________________
<a href="mailto:JavierD@paralax.com.mx" target="_blank">JavierD@paralax.com.mx</a>
<a href="http://www.paralax.com.mx" target="_blank">www.paralax.com.mx</a>

En twitter:
<a href="http://twitter.com/paralaxmultimed" target="_blank">http://twitter.com/paralaxmultimed</a></pre>
</div></div></div><div><div></div><div class="h5">


<p></p>

-- <br>
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"<br>
de Grupos de Google.<br>
Si quieres publicar en este grupo, envía un mensaje de correo<br>
electrónico a <a href="mailto:ayuda-linux@googlegroups.com" target="_blank">ayuda-linux@googlegroups.com</a><br>
Para anular la suscripción a este grupo, envía un mensaje a<br>
<a href="mailto:ayuda-linux-unsubscribe@googlegroups.com" target="_blank">ayuda-linux-unsubscribe@googlegroups.com</a><br>
Para obtener más opciones, visita este grupo en<br>
<a href="http://groups.google.es/group/ayuda-linux?hl=es" target="_blank">http://groups.google.es/group/ayuda-linux?hl=es</a>. o <a href="http://www.compunauta.com/ayuda/" target="_blank">http://www.compunauta.com/ayuda/</a></div>

</div></blockquote></div><br>

<p></p>

-- <br />
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"<br />
de Grupos de Google.<br />
Si quieres publicar en este grupo, envía un mensaje de correo<br />
electrónico a ayuda-linux@googlegroups.com<br />
Para anular la suscripción a este grupo, envía un mensaje a<br />
ayuda-linux-unsubscribe@googlegroups.com<br />
Para obtener más opciones, visita este grupo en<br />
<a href="http://groups.google.es/group/ayuda-linux?hl=es">http://groups.google.es/group/ayuda-linux?hl=es</a>. o <a href="http://www.compunauta.com/ayuda/">http://www.compunauta.com/ayuda/</a>