¿como solucionar los ataques ddos que vengo sufriendo?

Buenas señores!

En mi trabajo, un servicio 24/7, en 1 mes hemos visto que..... peta, debido a muchos httpd ejecutandose.

En ese momento, no pusimos netstat ni nada, para saber cuantas conexiones tenian, pues, no podiamos ni siquiera acceder por ssh.

Entonces, estoy pensando de instalar APF+Ddos Deflate ( y no se si tambien BFD ), pero... antes de hacer eso, como es un servidor en produccion 24h, no se puede cagar....pues el servicio se pararia.

Os muestro el log del apache, que CREO, que intentan inyectar codigo, y algun que otro zombie, prueba muchos directorios para entrar al phpmyadmin.






Realmente, como veis en las capturas, estoy sufriendo ataques? ( las ips que aparecen son de paises extrangeros ).

Aparte, como podria solucionar lo de que "server-status", es un modulo que no tengo instalado....y..., no veas como engordan los logs....

¿Me recomendais encarecidamente que instale ddfos deflate+apf ? ¿Es dificil ? ¿Algun detalle especifico que deba saber ?

Un saludo a todos.

Edito:
Se me olvidaba, el servidor es un Centros 5.3 64bits

Supongo que disponeis de un buen firewall, no?

Partiendo de eso, que es algo básico y más en un servicio como el que pones (24/7), lo mejor es cerrar los puertos que entran por internet y dejarlos abiertos solo para la intranet. De esta forma las peticiones SSH de fuera de la red de la empresa ni llegarían al servidor, mientras que las peticiones de la intranet sí.

Lo que no podrías evitar es que haga peticiones HTTP, pero para eso muchos firewalls suelen tener opciones para detectar peticiones masivas y les va devolviendo timeouts.

Buenas.

Sorprendetemente, he preguntado a otro admin de sistemas ( pues yo, soy relativamente nuevo ) y NO está activo ( en el propio servidor ).

Lo del los puertos abiertos, debemos de tener algunos abiertos, por ejemplo, el ssh, ( aunque no por el tipico puerto ), el 80 ( hace falta para que el cliente acceda a la aplicacion ) y algunos mas.... hacen falta para poder acceder al servidor desde fuera alguna que otra vez.

Me he quedado a cuadros ante la respuesta " no, está desactivado ", pero.... en el router de ono ( tenemos soporte con ellos ), si que tiene el firewall.

Es inevitable que ciertos puertos estén abiertos, de eso no ahi duda.

Respecto al DDos deflate, me han dicho que.... prefieren usar las iptables, vamos... que no instale el APF.

Como lo veis?

Gracias

El router que tiene Ono esta configurado de forma muy genérica. Te abren un paquete de puertos y ya está, no tienes mucho más control. Lo sé porque nosotros también usamos el DataCenter de Ono, pero a pesar de ello tenemos otro firewall cisco para filtrar mejor.

El tener el firewall en la misma máquina sigue siendo un problema, porque aunque las peticiones no llegan a los servicios a las que van destinadas, siguen creando carga en la máquina, solo que esta vez se la come el firewall. Y espero que no sea el firewall que viene en windows ¬¬

Lo aconsejable es:
1) tener un firewall independiente que permita crear una VPN
2) capar el puerto de SSH hacia internet, pero no hacia la intranet
3) Conectarse a la vpn (es con un programin) y, estando ya en la intranet, hacer el ssh

Yo lo hago así y es muuuucho más seguro.

El tema de la VPN ya se ha optado, tenemos el openvpn......pero cuando estaba en pleno proceso, ocurrio un problema ( dejamos aislado el servidor del resto de la red... con lo que.... hubo un follon gordo xD ).

Cuando se probaba el VPN, queriamos q puediera acceder a todos los recursos de la intranet......pero...... no lo conseguimos, solo conseguimos que la VPN funcionase solo y exclusiamente donde se estaba ejecutando.

Una de dos............documentarme bien sobre VPN ( q programa usais? openVPN ) para acceder a la maquina usando VPN
O........ mirar de un firewall para evitar esto.

¿Teniendo el puerto 22 accesible desde fuera ( que está asi porque el VPN no conseguí configurarlo para que pudiese conectarse a toda la intranet ), me pueden atacar directamente si se descubre algun bug, verdad??

Por ultimo, que firewall me recomiendas?
En el servidor ( centos ) corre apache, mysql y algua coseja mas.... aunque.. claro..... los datos que se manejan dia a dia es de un volumen muy grande.
Saludos.

te recomiendo iptables.

Y que cambieis el puerto del SSH por otro, asi evitareis mucho scripts automáticos :)

Tenemos otro puerto para ssh........no es el tipio, tenemos el 5451......
Jode los zoombies estos que intentan acceder a phpmyadmin...( y no lo tenemos instalao ).

pues bien, cuanto más extraño sea el numero del puerto, mejor :)

Yo estoy probando una cosa que es un refinamiento técnico, que es el port-knocking, solo por añadir otra capa más de seguridad a mis servidores.

Usamos un firewall físico de Cisco que permite realizar la VPN. Por lo tanto, no usamos ningún software de servidor para el tema de la VPN y tenemos acceso a toda la intranet. En la parte cliente si que hace falta un mini programa de cisco para establecer acceso a la VPN.



Si, además de que estarán intentando acceder por fuerza bruta lo que implica que, con el tiempo, lograrán tener acceso.


Como te he dicho arriba, nada mejor como un firewall físico. No te carga el sistema, es mucho más seguro y te permite más opciones.

Probaste con fail2ban?

Pensado originalmente para bloquear (mediante reglas de iptables) intentos de fuerza bruta a SSH; crecio y soporta http. Tambien te avisa via mail de las ips bloqueadas

Puede llegar a ser una buena solucion.

En todos los servidores que manejo lo instale (el 22 estaba publicado, sin medidas de proteccion... cosas del antiguo admin)