<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html; charset=ISO-8859-1"

 http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Pues yo sospecho que es un ataque zombie.<br>

<br>

Estoy rentando un servidor y este, esta dentro de un grupo de varios

cientos de servidores compartiendo el mismo nodo.<br>

Sospecho que la mayor parte de los servidores estan bajo este tipo de

ataque, y simplemente los dejan trabajar.  conque entren dentro de

alguno de vez en cuando, tiene suficiente para sus fines..<br>

<br>

Javier<br>

<br>

<br>

l 08/06/2010 12:47 p.m., Vicente Guerra escribió:

<blockquote

 cite="mid:Pine.LNX.4.64.1006081224340.25919@casa.guerra.com.mx"

 type="cite">    De tu mensaje, me hiciste revisar mi

/var/log/messages...

  <br>

  <br>

    En dos días, he recibido algunos ataques de:

  <br>

  <br>

    1) De 10 a 30 intentos de ingresar como root (por ataque).

  <br>

    2) Series de 20 minutos de intento de ingresar como root.

  <br>

  <br>

    En ambos tipos, el atacante se "cansa" de insistir, y ya...

  <br>

por lo que seguramente son herramientas de búsqueda de puertos

  <br>

libres, y al llegar a un punto, saltan a la siguiente IP. De

  <br>

igual modo, los ataques de HTTP son relativamente mínimos.

  <br>

  <br>

    Ello me genera la duda... ¿será un ataque "personal" para tí

  <br>

o tu servidor/dominio? Digo, por la insistencia...

  <br>

  <br>

Atte.

  <br>

 Vic

  <br>

  <br>

On Tue, 8 Jun 2010, Javier Delgado wrote:

  <br>

  <br>

  <blockquote type="cite">Hola

    <br>

    <br>

bueno... el dinero es parte de la razon, pero la otra es que me gusta

hacer las cosas por mi mismo.

    <br>

    <br>

Desde hace 12 años, manejo mi propio servidor,  el que tengo

actualmente ya tiene 2 años, y me encarge de dar todo de alta, pero

tampoco estoy metido mucho en Linux...

    <br>

    <br>

No tengo un servidor de pruebas... pero puedo formatear una maquina

para hacerlo.. olvide comentar que el que estoy usando esta fisicamente

en Canada...

    <br>

    <br>

Ok.. deshabilitar root en SSH es una gran idea...

    <br>

    <br>

Sin embargo tengo una duda... mas o menos en el transcurso de 10

horas., tengo unos 10,000 intentos de login.

    <br>

    <br>

Con ese numero de logins,  tengo un load average de 0.2 a 0.6 lo cual

es tolerable...

    <br>

    <br>

Entonces que es lo que causa que llege a un load average de 80?? que es

cuando se cae el servidor..

    <br>

    <br>

Lo que me intriga es que si en ese momento, desactivo apache, postifx y

dovecot,  el load average baja hasta 0.1 lo que me suena mas a un DoS

attack. Concentrarme en bloquear los logins, evitara tambien este tipo

de ataque?

    <br>

    <br>

No se si ya lo mencione... el servidor es un

    <br>

    <br>

CentOS Linux 5.4,

    <br>

*Kernel and CPU* Linux 2.6.18-164.15.1.el5 on x86_64

    <br>

Administrado con Virtualmin.3.78.gpl

    <br>

    <br>

Javier

    <br>

    <br>

El 08/06/2010 10:13 a.m., GaRaGeD Style escribió:

    <br>

    <blockquote type="cite">Hola Javier

      <br>

      <br>

Te estas metiendo en honduras serias, entiendo que no has de tener

dinero para contratar a alguien capacitado, entonces tendras que poner

de tu parte, leer mucho, y experimentar, espero que al menos tengas un

servidor para pruebas.

      <br>

      <br>

Para empezar, lo mejor sería que deshabilites el acceso por ssh para

root, luego, modifica PAM (google es tu amigo) para que bloquee despues

de unos intentos la cuenta que están atacando (esta es una idea no tan

buena, saca conclusiones), y luego instala fail2ban para que bloquee

por firewall la IP de quien te ataca, aqui si te puedes dar el lujo de

bloquear por tiempos relativamente largos.

      <br>

      <br>

Este es un tema interesante, no es algo que vayas a lograr controlar en

unos días, de verdad necesitas leer, meterte a entender el sistema

operativo que estas usando como servidor.

      <br>

      <br>

Saludos

      <br>

Max

      <br>

      <br>

-- <br>

$ echo "scale=1000000; 4*a(1)" | bc -l

      <br>

-- <br>

Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"

      <br>

de Grupos de Google.

      <br>

Si quieres publicar en este grupo, envía un mensaje de correo

      <br>

electrónico a <a class="moz-txt-link-abbreviated" href="mailto:ayuda-linux@googlegroups.com">ayuda-linux@googlegroups.com</a>

      <br>

Para anular la suscripción a este grupo, envía un mensaje a

      <br>

<a class="moz-txt-link-abbreviated" href="mailto:ayuda-linux-unsubscribe@googlegroups.com">ayuda-linux-unsubscribe@googlegroups.com</a>

      <br>

Para obtener más opciones, visita este grupo en

      <br>

<a class="moz-txt-link-freetext" href="http://groups.google.es/group/ayuda-linux?hl=es">http://groups.google.es/group/ayuda-linux?hl=es</a>. o

<a class="moz-txt-link-freetext" href="http://www.compunauta.com/ayuda/">http://www.compunauta.com/ayuda/</a>

      <br>

      <br>

      <br>

      <br>

No virus found in this incoming message.

      <br>

Checked by AVG - <a class="moz-txt-link-abbreviated" href="http://www.avg.com">www.avg.com</a>

      <br>

Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date:

06/08/10 06:35:00

      <br>

      <br>

      <br>

    </blockquote>

    <br>

    <br>

-- <br>

Javier Delgado Rosas

    <br>

    <br>

______________________

    <br>

<a class="moz-txt-link-abbreviated" href="mailto:JavierD@paralax.com.mx">JavierD@paralax.com.mx</a>

    <br>

<a class="moz-txt-link-abbreviated" href="http://www.paralax.com.mx">www.paralax.com.mx</a>

    <br>

    <br>

En twitter:

    <br>

<a class="moz-txt-link-freetext" href="http://twitter.com/paralaxmultimed">http://twitter.com/paralaxmultimed</a>

    <br>

    <br>

-- <br>

Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"

    <br>

de Grupos de Google.

    <br>

Si quieres publicar en este grupo, envía un mensaje de correo

    <br>

electrónico a <a class="moz-txt-link-abbreviated" href="mailto:ayuda-linux@googlegroups.com">ayuda-linux@googlegroups.com</a>

    <br>

Para anular la suscripción a este grupo, envía un mensaje a

    <br>

<a class="moz-txt-link-abbreviated" href="mailto:ayuda-linux-unsubscribe@googlegroups.com">ayuda-linux-unsubscribe@googlegroups.com</a>

    <br>

Para obtener más opciones, visita este grupo en

    <br>

<a class="moz-txt-link-freetext" href="http://groups.google.es/group/ayuda-linux?hl=es">http://groups.google.es/group/ayuda-linux?hl=es</a>. o

<a class="moz-txt-link-freetext" href="http://www.compunauta.com/ayuda/">http://www.compunauta.com/ayuda/</a>

    <br>

  </blockquote>

  <br>

  <pre wrap="">

<fieldset class="mimeAttachmentHeader"></fieldset>

No virus found in this incoming message.

Checked by AVG - <a class="moz-txt-link-abbreviated" href="http://www.avg.com">www.avg.com</a> 

Version: 8.5.437 / Virus Database: 271.1.1/2925 - Release Date: 06/08/10 06:35:00

  </pre>

</blockquote>

<br>

<br>

<pre class="moz-signature" cols="72">-- 

Javier Delgado Rosas

______________________

<a class="moz-txt-link-abbreviated" href="mailto:JavierD@paralax.com.mx">JavierD@paralax.com.mx</a>

<a class="moz-txt-link-abbreviated" href="http://www.paralax.com.mx">www.paralax.com.mx</a>

En twitter:

<a class="moz-txt-link-freetext" href="http://twitter.com/paralaxmultimed">http://twitter.com/paralaxmultimed</a></pre>

</body>

</html>

<p></p>

-- <br />

Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"<br />

de Grupos de Google.<br />

Si quieres publicar en este grupo, envía un mensaje de correo<br />

electrónico a ayuda-linux@googlegroups.com<br />

Para anular la suscripción a este grupo, envía un mensaje a<br />

ayuda-linux-unsubscribe@googlegroups.com<br />

Para obtener más opciones, visita este grupo en<br />

<a href="http://groups.google.es/group/ayuda-linux?hl=es">http://groups.google.es/group/ayuda-linux?hl=es</a>. o <a href="http://www.compunauta.com/ayuda/">http://www.compunauta.com/ayuda/</a>