Servidor sin recursos, posible ataque?

Hola que tal!!

Antes de nada, siento si este post no va aqui.
Si algun Admin tiene que moverlo a otro sitio, que lo haga.

Os pongo en antecedentes. Tengo un portal con bastante tráfico (11mil visitas al dia). Teniamos un servidor dedicado con 1 gb de Ram y 2x 1.8GHz Debian.

Se nos colpasaba los dias de muchas visitas (14mil) y decidimos ampliar el Server a 3 gb de Ram y 2x 2.1GHz Debian.

Al principio iba muy bien, pero de repente se cae eternamente. Se quedaba sin recursos, toda la memoria y la CPU consumida.
Despues de dias de investigaciones y hablando con el hosting parece ser un ataque.

Mirando el error-log del apache, veo que todo el rato sin parar se escribe:[Wed Nov 18 21:47:58 2009] [error] [client 217.226.60.12] script 'u r l oculta x-count.php' not found or unable to stat, referer: ...u r l oculta... name=photos&file=voir&id_gal=27404&voir=1[/url]
[Wed Nov 18 21:47:58 2009] [error] [client 213.60.147.60] script 'u r l oculta x-count.php' not found or unable to stat, referer: ...u r l oculta...

Por lo que parece un ataque Ddos o ataque iframe (perdonad no controlo mucho del tema).

Instale el script DosDesflate

Consegui levantar el servicio, pero el servidor sigue jodido de recursos.
Si miro el error-log del apache, se sigue escribiendo todo el rato lo de antes.

Ayer cambie el puerto SSH 22 a otro numero.

¿Hay alguna forma de controlar esto?
¿Lo solucionaría bloqueando la url que aparece en el error_log
...u r l oculta...

muchas gracias desde ya, y perdon por la chapa!
A ver si alguien puede echarme una mano. 1saludo!

Hola,

Por lo que comentas, parece que supones que ese es el problema. Puede que lo sea, pero a lo mejor el asunto viene por otro lado.

¿Has revisado por un tiempo los procesos del sistema para identificar cuál o cuáles usan más recursos?

Este enlace mencionado por WebTech hace unos días, podría servirte de guía:

http://www.linuxtotal.com.mx/index.p...info_admon_012

¿Has revisado qué hay en esa URL?

Mi mejor sugerencia es que contrates a una empresa para que al menos te haga la valoración del problema y realice un procedimiento inicial de seguridad al servidor, si no quieres o no puedes permitirte pagarlo mensualmente.

No tiene nada de malo si quieres aprender, pero tampoco tiene sentido que lances palos al aire, como por ejemplo el de cambiar el puerto para SSH, cuando nada tiene qué ver con el log de Apache que comentas.

Saludos,

Hola Apolo!!

Muchas gracias por tu respuesta, se agradece!

La verdad es que ahora no puedo permitirme contratar a ninguna empresa para que estudie el problema, estoy jodido de pasta.

He hecho un ps aux y me salen muchos procesos, demasiados. Muchos de este tipo:
www-data 1946 0.4 0.3 32448 12144 ? S 15:14 0:03 /usr/sbin/apache2 -k start

La url que me dices, que me sale en el error-log del apache, es de una web porno francesa .fr

He hecho esto para comprobar algunas cosas:
1. He mirado en /etc/inetd.conf que no haya servicios no autorizados.
No controlo mucho, pero parace que está todo en orden.

2.- Para analizar en /etc/passwds si habia más cuentas creadas como root, para que nos toquen cosas, y con esta instruccion
awk -F: '{if ($4==0) print $1}' /etc/passwd
me sale solo que root tiene cuenta como tal

3.- Miro también en /ect/passwd si existe alguna cuenta creada sin clave
con este comando awk -F: '{if ($2=="") print $1}' /etc/passwd
y no me sale ninguna

He mirado también de intentar bloquear la url francesa que te digo usando el mod_rewrite, con estas directivas:

<Directory "/www/var/public_html/">
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^ u r l oculta
RewriteRule .* - [F,L]
</Directory>

Para si paran las entradas desde esta url a nuestra web, pero no se donde poner esto, ni como usar el mod_rewrite.

Muchas gracias de nuevo, 1saludo!

una preguntilla, ¿tu web tiene alguna seccion para subir imagenes o videos o archivos de algun tipo?

Si tienes un servidor linux, crea un .htaccess en el root de la pagina y ponle las directivas que has puesto en tu post, así restringiras el accceso. Saludos!

Hola Vun!!

Tenemos un foro, donde la gente puede subir su avatar, o alguna imagen.
Pero creo que esto último no funcionaba.
Por lo demás es un portal en joomla.

Hola safranero, ya tengo el .htaccess de mi instalacion joomla.
Le pongo estas directivas tal cual, copio y pego como queda:

################################################## ###
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
#
################################################## ###

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

# mod_rewrite in use

//LINEAS QUE AÑADO
<Directory "/var/www/vhosts/default/htdocs/">
RewriteCond %{HTTP_REFERER} ^url oculta atacante
RewriteRule .* - [F,L]
</Directory>
// fin lineas //

#php_value memory_limit 32M

RewriteEngine On
...
...

En cuanto guardo el .htacces, la web me deja de funcionar.
¿que estoy haciendo mal?

Muchas gracias por las respuestas!
1saludo!

Pasame el archivo htaccess por privado, por que no se cual es... saludos!!

Gracias tio!

te lo acabo de enviar!

mil gracias, 1 saludo

txampa , te preguntaba lo de si tenias algo donde se suban archivos porque hay un exploit muy usado donde si no controlas bien que tipo de archivos pueden subir los usuarios puedes tener problemillas, pero si dices que es un portal con joomla ya estara controlado supongo

suerte con lo tuyo!

Safranero te mande el .htaccess por mensaje privado.

Puedes ayudarme por favor a ver donde y como poner esas directivas en el .htacces?

o alguien puede decirme como...

mil gracias, 1 saludo!

No me he detenido a revisar las líneas que has añadido, pero en todo caso esta línea:

RewriteEngine On

Sí que debe ir antes de las reglas mod_rewrite que pongas. Si no lo activas con esa línea, obviamente no te las va a leer.

Saludos,