[SOLUCIONADO] Proftpd DDOS

sulator · #1 (**permalink**) 03/12/2015, 04:49

Hola, Que tál?

Necesito vuestra ayuda, quien puede ayudarme, Tengo plesk 12.5.30 con centos 6.5 y observando en la carpeta /var/log/messages veo intentos de acceso al ftp.

Código PHP:

  Dec  3 05:32:12 vps proftpd[4935]: processing configuration directory '/etc/proftpd.d'

Dec  3 05:32:12 vps proftpd[4935]: 192.168.12.1 (113.174.74.222[113.174.74.222]) - FTP session opened.

Dec  3 05:32:13 vps proftpd[4935]: 192.168.12.1 (113.174.74.222[113.174.74.222]) - FTP session closed.

Dec  3 05:32:13 vps xinetd[20647]: EXIT: ftp status=0 pid=4935 duration=1(sec)

Dec  3 05:32:55 vps xinetd[20647]: START: ftp pid=5039 from=::ffff:113.174.74.222

Este es un pequeño listado hay más con diferentes ips.

Deduzco que puede ser un ataque DDOS, me consume casi toda la memoria, normalmente trabajo con el ftp como root como pudo proteger el acceso ftp. alguna idea por favor? gracias

Saludos cordiales

franciscomarin · #2 (**permalink**) 03/12/2015, 05:14

No es ningún ataque DDOS, es un ataque de fuerza bruta y es muy común (bastante) prácticamente no hay servidor que no lo reciba. Se pueden hacer varias cosas para minimizarlos y una de ellas es modificar el puerto del FTP (e incluso del SSH también) por otro, pero esto solo lo puedes hacer si tu eres el único que accedes por FTP, aunque esto no es del todo efectivo y tarde o temprano te localizarán el nuevo puerto y estarás en las mismas.

Pero no te preocupes, siempre que tengas contraseñas seguras no tendrás ningún problema.

sulator · #3 (**permalink**) 03/12/2015, 10:23

Cita:

Iniciado por franciscomarin

No es ningún ataque DDOS, es un ataque de fuerza bruta y es muy común (bastante) prácticamente no hay servidor que no lo reciba. Se pueden hacer varias cosas para minimizarlos y una de ellas es modificar el puerto del FTP (e incluso del SSH también) por otro, pero esto solo lo puedes hacer si tu eres el único que accedes por FTP, aunque esto no es del todo efectivo y tarde o temprano te localizarán el nuevo puerto y estarás en las mismas.

Pero no te preocupes, siempre que tengas contraseñas seguras no tendrás ningún problema.

Ya he cambiado el puerto editando el fichero proftpd.conf linea

Código PHP:

  # Port 21 is the standard FTP port.

Port    980

cierto eso que comentas que enseguida dan con el puerto cambiado

Contraseñas segura hay :) Lo que me preocupa, es que me suba tanto la memoria por hacer el intento ataque fuerza bruta. ¿cual seria la solución? gracias

saludos

lauser · #4 (**permalink**) 03/12/2015, 10:56

Dado que usas plesk, lo mas cómodo seria instalar la extensión fail2ban y bloquear/configurar el proftp.

sulator · #5 (**permalink**) 04/12/2015, 04:21

Cita:

Iniciado por lauser

Dado que usas plesk, lo mas cómodo seria instalar la extensión fail2ban y bloquear/configurar el proftp.

Buenas lauser,

Ya tenia activado el fail2ban con los 2 jails que comentas hace su función, pero siguen asaco con el intento de acceder por el ftp me consume recursos cpu por las nubes y memoria, alguna idea más? gracias

lauser · #6 (**permalink**) 04/12/2015, 06:07

Has configurado correctamente el tiempo de baneo ip?

sulator · #7 (**permalink**) 04/12/2015, 09:05

Cita:

Iniciado por lauser

Has configurado correctamente el tiempo de baneo ip?

Lo tengo de esta manera

Código PHP:

  [plesk-proftpd]

enabled = true

filter = proftpd

action = iptables-multiport[name="plesk-proftpd", port="ftp,ftp-data,ftps,ftps-data"]

logpath = /var/log/secure

maxretry = 5

que tal lo ves??

lauser · #8 (**permalink**) 04/12/2015, 10:51

Yo pondria el:

Código BASH:

Ver originalmaxretry = 3

Y el baneo a... en segundos.

Código BASH:

Ver original600000

sulator · #9 (**permalink**) 04/12/2015, 11:59

Ya lo he cambiado a ver ahora si dejan de tocar los cojones y va mas ligero el vps

gracias

lauser · #10 (**permalink**) 04/12/2015, 12:29

De echo el

Código BASH:

Ver originalmaxretry = 3

inclusive lo podrías colocar en 2.

sulator · #11 (**permalink**) 07/12/2015, 10:49

Ya lo cambie ;) gracias lauser