Foros del Web » Administración de Sistemas » Cloud Computing »

Servidor sin recursos, posible ataque?

Estas en el tema de Servidor sin recursos, posible ataque? en el foro de Cloud Computing en Foros del Web. Hola que tal!! Antes de nada, siento si este post no va aqui. Si algun Admin tiene que moverlo a otro sitio, que lo haga. ...
  #1 (permalink)  
Antiguo 27/11/2009, 16:22
 
Fecha de Ingreso: septiembre-2009
Mensajes: 12
Antigüedad: 15 años, 2 meses
Puntos: 0
Servidor sin recursos, posible ataque?

Hola que tal!!

Antes de nada, siento si este post no va aqui.
Si algun Admin tiene que moverlo a otro sitio, que lo haga.

Os pongo en antecedentes. Tengo un portal con bastante tráfico (11mil visitas al dia). Teniamos un servidor dedicado con 1 gb de Ram y 2x 1.8GHz Debian.

Se nos colpasaba los dias de muchas visitas (14mil) y decidimos ampliar el Server a 3 gb de Ram y 2x 2.1GHz Debian.

Al principio iba muy bien, pero de repente se cae eternamente. Se quedaba sin recursos, toda la memoria y la CPU consumida.
Despues de dias de investigaciones y hablando con el hosting parece ser un ataque.

Mirando el error-log del apache, veo que todo el rato sin parar se escribe:[Wed Nov 18 21:47:58 2009] [error] [client 217.226.60.12] script 'u r l oculta x-count.php' not found or unable to stat, referer: ...u r l oculta... name=photos&file=voir&id_gal=27404&voir=1[/url]
[Wed Nov 18 21:47:58 2009] [error] [client 213.60.147.60] script 'u r l oculta x-count.php' not found or unable to stat, referer: ...u r l oculta...

Por lo que parece un ataque Ddos o ataque iframe (perdonad no controlo mucho del tema).

Instale el script DosDesflate

Consegui levantar el servicio, pero el servidor sigue jodido de recursos.
Si miro el error-log del apache, se sigue escribiendo todo el rato lo de antes.

Ayer cambie el puerto SSH 22 a otro numero.

¿Hay alguna forma de controlar esto?
¿Lo solucionaría bloqueando la url que aparece en el error_log
...u r l oculta...

muchas gracias desde ya, y perdon por la chapa!
A ver si alguien puede echarme una mano. 1saludo!
  #2 (permalink)  
Antiguo 28/11/2009, 05:41
Avatar de Apolo
Colaborador
 
Fecha de Ingreso: abril-2003
Ubicación: ubicado
Mensajes: 7.961
Antigüedad: 21 años, 8 meses
Puntos: 109
Respuesta: Servidor sin recursos, posible ataque?

Hola,

Por lo que comentas, parece que supones que ese es el problema. Puede que lo sea, pero a lo mejor el asunto viene por otro lado.

¿Has revisado por un tiempo los procesos del sistema para identificar cuál o cuáles usan más recursos?

Este enlace mencionado por WebTech hace unos días, podría servirte de guía:

http://www.linuxtotal.com.mx/index.p...info_admon_012

¿Has revisado qué hay en esa URL?

Mi mejor sugerencia es que contrates a una empresa para que al menos te haga la valoración del problema y realice un procedimiento inicial de seguridad al servidor, si no quieres o no puedes permitirte pagarlo mensualmente.

No tiene nada de malo si quieres aprender, pero tampoco tiene sentido que lances palos al aire, como por ejemplo el de cambiar el puerto para SSH, cuando nada tiene qué ver con el log de Apache que comentas.

Saludos,
__________________
Planes VPS en el mundo > DirectorioVPS
Visita los foros de hosting de ComunidadHosting
  #3 (permalink)  
Antiguo 28/11/2009, 09:37
 
Fecha de Ingreso: septiembre-2009
Mensajes: 12
Antigüedad: 15 años, 2 meses
Puntos: 0
Respuesta: Servidor sin recursos, posible ataque?

Hola Apolo!!

Muchas gracias por tu respuesta, se agradece!

La verdad es que ahora no puedo permitirme contratar a ninguna empresa para que estudie el problema, estoy jodido de pasta.

He hecho un ps aux y me salen muchos procesos, demasiados. Muchos de este tipo:
www-data 1946 0.4 0.3 32448 12144 ? S 15:14 0:03 /usr/sbin/apache2 -k start

La url que me dices, que me sale en el error-log del apache, es de una web porno francesa .fr

He hecho esto para comprobar algunas cosas:
1. He mirado en /etc/inetd.conf que no haya servicios no autorizados.
No controlo mucho, pero parace que está todo en orden.

2.- Para analizar en /etc/passwds si habia más cuentas creadas como root, para que nos toquen cosas, y con esta instruccion
awk -F: '{if ($4==0) print $1}' /etc/passwd
me sale solo que root tiene cuenta como tal

3.- Miro también en /ect/passwd si existe alguna cuenta creada sin clave
con este comando awk -F: '{if ($2=="") print $1}' /etc/passwd
y no me sale ninguna

He mirado también de intentar bloquear la url francesa que te digo usando el mod_rewrite, con estas directivas:

<Directory "/www/var/public_html/">
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^ u r l oculta
RewriteRule .* - [F,L]
</Directory>

Para si paran las entradas desde esta url a nuestra web, pero no se donde poner esto, ni como usar el mod_rewrite.

Muchas gracias de nuevo, 1saludo!
  #4 (permalink)  
Antiguo 28/11/2009, 10:13
Avatar de Vun
Vun
Colaborador
 
Fecha de Ingreso: agosto-2009
Ubicación: Benalmádena, España
Mensajes: 2.265
Antigüedad: 15 años, 4 meses
Puntos: 150
Respuesta: Servidor sin recursos, posible ataque?

una preguntilla, ¿tu web tiene alguna seccion para subir imagenes o videos o archivos de algun tipo?
  #5 (permalink)  
Antiguo 28/11/2009, 10:36
 
Fecha de Ingreso: enero-2007
Mensajes: 157
Antigüedad: 17 años, 10 meses
Puntos: 2
Respuesta: Servidor sin recursos, posible ataque?

Si tienes un servidor linux, crea un .htaccess en el root de la pagina y ponle las directivas que has puesto en tu post, así restringiras el accceso. Saludos!
  #6 (permalink)  
Antiguo 28/11/2009, 13:07
 
Fecha de Ingreso: septiembre-2009
Mensajes: 12
Antigüedad: 15 años, 2 meses
Puntos: 0
Respuesta: Servidor sin recursos, posible ataque?

Hola Vun!!

Tenemos un foro, donde la gente puede subir su avatar, o alguna imagen.
Pero creo que esto último no funcionaba.
Por lo demás es un portal en joomla.

Hola safranero, ya tengo el .htaccess de mi instalacion joomla.
Le pongo estas directivas tal cual, copio y pego como queda:

################################################## ###
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
#
################################################## ###

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

# mod_rewrite in use

//LINEAS QUE AÑADO
<Directory "/var/www/vhosts/default/htdocs/">
RewriteCond %{HTTP_REFERER} ^url oculta atacante
RewriteRule .* - [F,L]
</Directory>
// fin lineas //

#php_value memory_limit 32M

RewriteEngine On
...
...

En cuanto guardo el .htacces, la web me deja de funcionar.
¿que estoy haciendo mal?

Muchas gracias por las respuestas!
1saludo!
  #7 (permalink)  
Antiguo 28/11/2009, 13:31
 
Fecha de Ingreso: enero-2007
Mensajes: 157
Antigüedad: 17 años, 10 meses
Puntos: 2
Respuesta: Servidor sin recursos, posible ataque?

Pasame el archivo htaccess por privado, por que no se cual es... saludos!!
  #8 (permalink)  
Antiguo 28/11/2009, 13:53
 
Fecha de Ingreso: septiembre-2009
Mensajes: 12
Antigüedad: 15 años, 2 meses
Puntos: 0
Respuesta: Servidor sin recursos, posible ataque?

Gracias tio!

te lo acabo de enviar!

mil gracias, 1 saludo
  #9 (permalink)  
Antiguo 29/11/2009, 11:12
Avatar de Vun
Vun
Colaborador
 
Fecha de Ingreso: agosto-2009
Ubicación: Benalmádena, España
Mensajes: 2.265
Antigüedad: 15 años, 4 meses
Puntos: 150
Respuesta: Servidor sin recursos, posible ataque?

txampa , te preguntaba lo de si tenias algo donde se suban archivos porque hay un exploit muy usado donde si no controlas bien que tipo de archivos pueden subir los usuarios puedes tener problemillas, pero si dices que es un portal con joomla ya estara controlado supongo

suerte con lo tuyo!
  #10 (permalink)  
Antiguo 30/11/2009, 15:10
 
Fecha de Ingreso: septiembre-2009
Mensajes: 12
Antigüedad: 15 años, 2 meses
Puntos: 0
Respuesta: Servidor sin recursos, posible ataque?

Safranero te mande el .htaccess por mensaje privado.

Puedes ayudarme por favor a ver donde y como poner esas directivas en el .htacces?

o alguien puede decirme como...

mil gracias, 1 saludo!
  #11 (permalink)  
Antiguo 30/11/2009, 15:15
Avatar de Apolo
Colaborador
 
Fecha de Ingreso: abril-2003
Ubicación: ubicado
Mensajes: 7.961
Antigüedad: 21 años, 8 meses
Puntos: 109
Respuesta: Servidor sin recursos, posible ataque?

No me he detenido a revisar las líneas que has añadido, pero en todo caso esta línea:

RewriteEngine On

Sí que debe ir antes de las reglas mod_rewrite que pongas. Si no lo activas con esa línea, obviamente no te las va a leer.

Saludos,
__________________
Planes VPS en el mundo > DirectorioVPS
Visita los foros de hosting de ComunidadHosting
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:49.