Foros del Web » Administración de Sistemas » Apache »

¿como solucionar los ataques ddos que vengo sufriendo?

Estas en el tema de ¿como solucionar los ataques ddos que vengo sufriendo? en el foro de Apache en Foros del Web. Buenas señores! En mi trabajo, un servicio 24/7, en 1 mes hemos visto que..... peta, debido a muchos httpd ejecutandose. En ese momento, no pusimos ...
  #1 (permalink)  
Antiguo 25/05/2010, 03:33
 
Fecha de Ingreso: septiembre-2009
Ubicación: Sevilla
Mensajes: 37
Antigüedad: 15 años, 3 meses
Puntos: 0
¿como solucionar los ataques ddos que vengo sufriendo?

Buenas señores!

En mi trabajo, un servicio 24/7, en 1 mes hemos visto que..... peta, debido a muchos httpd ejecutandose.

En ese momento, no pusimos netstat ni nada, para saber cuantas conexiones tenian, pues, no podiamos ni siquiera acceder por ssh.

Entonces, estoy pensando de instalar APF+Ddos Deflate ( y no se si tambien BFD ), pero... antes de hacer eso, como es un servidor en produccion 24h, no se puede cagar....pues el servicio se pararia.

Os muestro el log del apache, que CREO, que intentan inyectar codigo, y algun que otro zombie, prueba muchos directorios para entrar al phpmyadmin.






Realmente, como veis en las capturas, estoy sufriendo ataques? ( las ips que aparecen son de paises extrangeros ).

Aparte, como podria solucionar lo de que "server-status", es un modulo que no tengo instalado....y..., no veas como engordan los logs....

¿Me recomendais encarecidamente que instale ddfos deflate+apf ? ¿Es dificil ? ¿Algun detalle especifico que deba saber ?

Un saludo a todos.

Edito:
Se me olvidaba, el servidor es un Centros 5.3 64bits

Última edición por KbzaJunior; 25/05/2010 a las 03:40 Razón: Olvido de especificar el S.O
  #2 (permalink)  
Antiguo 25/05/2010, 04:02
Avatar de Malenko
Moderador
 
Fecha de Ingreso: enero-2008
Mensajes: 5.323
Antigüedad: 16 años, 11 meses
Puntos: 606
Respuesta: ¿como solucionar los ataques ddos que vengo sufriendo?

Supongo que disponeis de un buen firewall, no?

Partiendo de eso, que es algo básico y más en un servicio como el que pones (24/7), lo mejor es cerrar los puertos que entran por internet y dejarlos abiertos solo para la intranet. De esta forma las peticiones SSH de fuera de la red de la empresa ni llegarían al servidor, mientras que las peticiones de la intranet sí.

Lo que no podrías evitar es que haga peticiones HTTP, pero para eso muchos firewalls suelen tener opciones para detectar peticiones masivas y les va devolviendo timeouts.
__________________
Aviso: No se resuelven dudas por MP!
  #3 (permalink)  
Antiguo 25/05/2010, 05:04
 
Fecha de Ingreso: septiembre-2009
Ubicación: Sevilla
Mensajes: 37
Antigüedad: 15 años, 3 meses
Puntos: 0
Respuesta: ¿como solucionar los ataques ddos que vengo sufriendo?

Buenas.

Sorprendetemente, he preguntado a otro admin de sistemas ( pues yo, soy relativamente nuevo ) y NO está activo ( en el propio servidor ).

Lo del los puertos abiertos, debemos de tener algunos abiertos, por ejemplo, el ssh, ( aunque no por el tipico puerto ), el 80 ( hace falta para que el cliente acceda a la aplicacion ) y algunos mas.... hacen falta para poder acceder al servidor desde fuera alguna que otra vez.

Me he quedado a cuadros ante la respuesta " no, está desactivado ", pero.... en el router de ono ( tenemos soporte con ellos ), si que tiene el firewall.

Es inevitable que ciertos puertos estén abiertos, de eso no ahi duda.

Respecto al DDos deflate, me han dicho que.... prefieren usar las iptables, vamos... que no instale el APF.

Como lo veis?

Gracias
  #4 (permalink)  
Antiguo 25/05/2010, 06:24
Avatar de Malenko
Moderador
 
Fecha de Ingreso: enero-2008
Mensajes: 5.323
Antigüedad: 16 años, 11 meses
Puntos: 606
Respuesta: ¿como solucionar los ataques ddos que vengo sufriendo?

El router que tiene Ono esta configurado de forma muy genérica. Te abren un paquete de puertos y ya está, no tienes mucho más control. Lo sé porque nosotros también usamos el DataCenter de Ono, pero a pesar de ello tenemos otro firewall cisco para filtrar mejor.

El tener el firewall en la misma máquina sigue siendo un problema, porque aunque las peticiones no llegan a los servicios a las que van destinadas, siguen creando carga en la máquina, solo que esta vez se la come el firewall. Y espero que no sea el firewall que viene en windows ¬¬

Lo aconsejable es:
1) tener un firewall independiente que permita crear una VPN
2) capar el puerto de SSH hacia internet, pero no hacia la intranet
3) Conectarse a la vpn (es con un programin) y, estando ya en la intranet, hacer el ssh

Yo lo hago así y es muuuucho más seguro.
__________________
Aviso: No se resuelven dudas por MP!
  #5 (permalink)  
Antiguo 25/05/2010, 16:03
 
Fecha de Ingreso: septiembre-2009
Ubicación: Sevilla
Mensajes: 37
Antigüedad: 15 años, 3 meses
Puntos: 0
Respuesta: ¿como solucionar los ataques ddos que vengo sufriendo?

El tema de la VPN ya se ha optado, tenemos el openvpn......pero cuando estaba en pleno proceso, ocurrio un problema ( dejamos aislado el servidor del resto de la red... con lo que.... hubo un follon gordo xD ).

Cuando se probaba el VPN, queriamos q puediera acceder a todos los recursos de la intranet......pero...... no lo conseguimos, solo conseguimos que la VPN funcionase solo y exclusiamente donde se estaba ejecutando.

Una de dos............documentarme bien sobre VPN ( q programa usais? openVPN ) para acceder a la maquina usando VPN
O........ mirar de un firewall para evitar esto.

¿Teniendo el puerto 22 accesible desde fuera ( que está asi porque el VPN no conseguí configurarlo para que pudiese conectarse a toda la intranet ), me pueden atacar directamente si se descubre algun bug, verdad??

Por ultimo, que firewall me recomiendas?
En el servidor ( centos ) corre apache, mysql y algua coseja mas.... aunque.. claro..... los datos que se manejan dia a dia es de un volumen muy grande.
Saludos.
  #6 (permalink)  
Antiguo 25/05/2010, 16:09
 
Fecha de Ingreso: mayo-2007
Mensajes: 46
Antigüedad: 17 años, 7 meses
Puntos: 0
Respuesta: ¿como solucionar los ataques ddos que vengo sufriendo?

te recomiendo iptables.

Y que cambieis el puerto del SSH por otro, asi evitareis mucho scripts automáticos :)
  #7 (permalink)  
Antiguo 25/05/2010, 16:22
 
Fecha de Ingreso: septiembre-2009
Ubicación: Sevilla
Mensajes: 37
Antigüedad: 15 años, 3 meses
Puntos: 0
Respuesta: ¿como solucionar los ataques ddos que vengo sufriendo?

Tenemos otro puerto para ssh........no es el tipio, tenemos el 5451......
Jode los zoombies estos que intentan acceder a phpmyadmin...( y no lo tenemos instalao ).
  #8 (permalink)  
Antiguo 25/05/2010, 16:44
 
Fecha de Ingreso: mayo-2007
Mensajes: 46
Antigüedad: 17 años, 7 meses
Puntos: 0
Respuesta: ¿como solucionar los ataques ddos que vengo sufriendo?

pues bien, cuanto más extraño sea el numero del puerto, mejor :)

Yo estoy probando una cosa que es un refinamiento técnico, que es el port-knocking, solo por añadir otra capa más de seguridad a mis servidores.
  #9 (permalink)  
Antiguo 27/05/2010, 00:57
Avatar de Malenko
Moderador
 
Fecha de Ingreso: enero-2008
Mensajes: 5.323
Antigüedad: 16 años, 11 meses
Puntos: 606
Respuesta: ¿como solucionar los ataques ddos que vengo sufriendo?

Cita:
Iniciado por KbzaJunior Ver Mensaje
Una de dos............documentarme bien sobre VPN ( q programa usais? openVPN ) para acceder a la maquina usando VPN
O........ mirar de un firewall para evitar esto.
Usamos un firewall físico de Cisco que permite realizar la VPN. Por lo tanto, no usamos ningún software de servidor para el tema de la VPN y tenemos acceso a toda la intranet. En la parte cliente si que hace falta un mini programa de cisco para establecer acceso a la VPN.



Cita:
Iniciado por KbzaJunior Ver Mensaje
¿Teniendo el puerto 22 accesible desde fuera ( que está asi porque el VPN no conseguí configurarlo para que pudiese conectarse a toda la intranet ), me pueden atacar directamente si se descubre algun bug, verdad??
Si, además de que estarán intentando acceder por fuerza bruta lo que implica que, con el tiempo, lograrán tener acceso.


Cita:
Iniciado por KbzaJunior Ver Mensaje
Por ultimo, que firewall me recomiendas?
En el servidor ( centos ) corre apache, mysql y algua coseja mas.... aunque.. claro..... los datos que se manejan dia a dia es de un volumen muy grande.
Saludos.
Como te he dicho arriba, nada mejor como un firewall físico. No te carga el sistema, es mucho más seguro y te permite más opciones.
__________________
Aviso: No se resuelven dudas por MP!
  #10 (permalink)  
Antiguo 01/06/2010, 20:07
 
Fecha de Ingreso: abril-2005
Ubicación: 34°35'49.20"S | 58°24'06.
Mensajes: 158
Antigüedad: 19 años, 8 meses
Puntos: 3
Respuesta: ¿como solucionar los ataques ddos que vengo sufriendo?

Probaste con fail2ban?

Pensado originalmente para bloquear (mediante reglas de iptables) intentos de fuerza bruta a SSH; crecio y soporta http. Tambien te avisa via mail de las ips bloqueadas

Puede llegar a ser una buena solucion.

En todos los servidores que manejo lo instale (el 22 estaba publicado, sin medidas de proteccion... cosas del antiguo admin)
__________________
P M3 d4 p0® 3s©r1bir c0mo 1diota 3n el M3sen11er ¿3s0 m3 c0nv13rte en h4ck3r?
R No. Solo eres un tonto.

Etiquetas: ataques, ddos
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 04:55.