Foros del Web » Administración de Sistemas » Software para Servers »

creo estoy recibiendo un ataque a mi server

Estas en el tema de creo estoy recibiendo un ataque a mi server en el foro de Software para Servers en Foros del Web. Hola, como dije, creo que tengo un ataque en mi vps. estoy tratando de acceder via web y no carga. http://www.mouta.com.ar/ Hice un netstat -t ...
  #1 (permalink)  
Antiguo 25/06/2011, 11:03
 
Fecha de Ingreso: marzo-2008
Mensajes: 99
Antigüedad: 16 años, 7 meses
Puntos: 0
Exclamación creo estoy recibiendo un ataque a mi server

Hola, como dije, creo que tengo un ataque en mi vps.
estoy tratando de acceder via web y no carga.
http://www.mouta.com.ar/

Hice un netstat -t

Y me da:
tcp 503 0 mouta.com.ar:www 85.155.31.25.dyn.:55618 CLOSE_WAIT
tcp 482 0 mouta.com.ar:www 85.155.31.25.dyn.:55626 CLOSE_WAIT
tcp 0 0 mouta.com.ar:www 85.155.31.25.dyn.:55572 CLOSE_WAIT
tcp 0 0 mouta.com.ar:www 85.155.31.25.dyn.:55588 CLOSE_WAIT
tcp 0 0 mouta.com.ar:www 85.155.31.25.dyn.:55586 CLOSE_WAIT
tcp 0 0 mouta.com.ar:www 85.155.31.25.dyn.:55587 CLOSE_WAIT
tcp 487 0 mouta.com.ar:www 85.155.31.25.dyn.:55595 CLOSE_WAIT
tcp 1 11680 mouta.com.ar:www 85.155.31.25.dyn.:55501 CLOSE_WAIT
tcp 1 0 mouta.com.ar:www 85.155.31.25.dyn.:55498 CLOSE_WAIT
tcp 1 0 mouta.com.ar:www 85.155.31.25.dyn.:55517 CLOSE_WAIT
tcp 1 0 mouta.com.ar:www 85.155.31.25.dyn.:55518 CLOSE_WAIT
tcp 486 0 mouta.com.ar:www 85.155.31.25.dyn.:55780 ESTABLISHED
tcp 516 0 mouta.com.ar:www 85.155.31.25.dyn.:55781 ESTABLISHED
tcp 487 0 mouta.com.ar:www 85.155.31.25.dyn.:55782 ESTABLISHED
tcp 497 0 mouta.com.ar:www 85.155.31.25.dyn.:55778 ESTABLISHED
tcp 487 0 mouta.com.ar:www 85.155.31.25.dyn.:55779 ESTABLISHED
tcp 484 0 mouta.com.ar:www 85.155.31.25.dyn.:55785 ESTABLISHED
tcp 508 0 mouta.com.ar:www 85.155.31.25.dyn.:55786 ESTABLISHED
tcp 493 0 mouta.com.ar:www 85.155.31.25.dyn.:55787 ESTABLISHED

Y así con el paso del tiempo se incrementa hasta que lo reinicio y vuelven a aparecer esas IP.

Es un ataque y que puedo hacer para evitarlo???
  #2 (permalink)  
Antiguo 25/06/2011, 12:16
Avatar de Datacenter1
Usuario no validado
 
Fecha de Ingreso: agosto-2005
Ubicación: Chicago
Mensajes: 1.982
Antigüedad: 19 años, 3 meses
Puntos: 144
Respuesta: creo estoy recibiendo un ataque a mi server

Puedes postear la salida de netstat -tanp y la salida de
Código:
netstat -plan|grep :80 |awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
  #3 (permalink)  
Antiguo 25/06/2011, 13:02
 
Fecha de Ingreso: marzo-2008
Mensajes: 99
Antigüedad: 16 años, 7 meses
Puntos: 0
Respuesta: creo estoy recibiendo un ataque a mi server

Si, como no:

1
1 0.0.0.0
1 198.145.117.113
1 88.2.209.157
2 186.20.126.17
2 66.249.66.57
4 186.19.25.6
6 66.249.71.153
124 85.155.31.25


esa es la salida
  #4 (permalink)  
Antiguo 25/06/2011, 13:23
Avatar de Datacenter1
Usuario no validado
 
Fecha de Ingreso: agosto-2005
Ubicación: Chicago
Mensajes: 1.982
Antigüedad: 19 años, 3 meses
Puntos: 144
Respuesta: creo estoy recibiendo un ataque a mi server

Bloquea esta dirección 85.155.31.25 el ataque solo viene de esa, te recomiendo instalar csf http://configserver.com/free/csf/install.txt

El comando iptables es:
Código:
 iptables -A INPUT -s 85.155.31.2 -j DROP

Etiquetas: servidores-web, vps, ataques
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:19.