bueno este server esta en un vps de linode , no tengo ninguna maquina detras de el , tengo un par de aplicaciones realizadas en mysql y php con un framework con symfony
El 17 de diciembre de 2013, 17:11, <lefr...@gmail.com> escribió: > Bloqueas el pueto y F2B sigue bloqueando, tienes algun proxy en ese mismo > servidor? tendrás algún directorio web suficientemente flojo como para > dejar que se corra algun boot desde tu server ? Puede ser desde la red > interna ? Alguno otro acceso a la nube ? > Enviado desde mi BlackBerry de Claro > ------------------------------ > *From: * troxlinux <xserverli...@gmail.com> > *Date: *Tue, 17 Dec 2013 16:50:04 -0600 > *To: *<debian-user-spanish@lists.debian.org> > *Cc: *debian-user-spanish<debian-user-spanish@lists.debian.org> > *Subject: *Re: respuesta ante un ddos > > lo raro es que cerrando el puerto en el firewall el fail2ban no para de > seguir bloqueando , he buscado rootkits son rkhunter , me he fijado en la > particion /tmp por si hay algo raro , he visto los procesos por si hay > alguno con ps -aux y no veo nada ... > > alguna pista donde buscar ? > > > El 17 de diciembre de 2013, 16:47, troxlinux <xserverli...@gmail.com>escribió: > >> estimados sigo con los problemas , me he configurado el fail2ban y esta >> bloqueando como condenado , pero aun asi sigo viendo esos log dentro de mi >> apache y el tipo no se cansa >> >> recibo miles de correos por minuto y me tiene cansado >> >> [Fail2Ban] httpd-get-dos: banned 192.210.59.182[Fail2Ban] httpd-get-dos: >> banned 173.208.177.139 >> >> dentro del error.log >> >> >> [Tue Dec 17 22:47:22 2013] [error] [client 117.41.182.45] Invalid URI in >> request POST HTTP/1.1 >> [Tue Dec 17 22:47:22 2013] [error] [client 69.162.70.77] client denied by >> server configuration: /var/www/html/st, referer: >> http://www.fitnesscareson.com/fitness-classes/sport-fitness/the-impact-of-food-advertising-on-child-obesity-5.html >> [Tue Dec 17 22:47:22 2013] [error] [client 216.244.84.87] client denied >> by server configuration: /var/www/html/11560, referer: >> http://www.lotsoffree.com/index.php?option=com_content&view=category&id=39&Itemid=106 >> [Tue Dec 17 22:47:22 2013] [error] [client 31.11.93.75] client denied by >> server configuration: /var/www/html/, referer: http://www.bing.com/ >> [Tue Dec 17 22:47:22 2013] [error] [client 31.11.93.75] client denied by >> server configuration: /var/www/error/noindex.html, referer: >> http://www.bing.com/ >> [Tue Dec 17 22:47:22 2013] [error] [client 23.239.99.189] client denied >> by server configuration: /var/www/html/ttj, referer: >> http://www.onlinemovieslive.com/?page_id=3525 >> [Tue Dec 17 22:47:22 2013] [error] [client 216.244.75.180] client denied >> by server configuration: /var/www/html/11671, referer: >> http://www.californiadegreeguide.com/media/rokgallery/b/b1ad055d-82a3-4ef4-a327-a0ecf8528efc/feature3.jpg >> [Tue Dec 17 22:47:22 2013] [error] [client 172.240.255.37] client denied >> by server configuration: /var/www/html/st, referer: >> http://www.sceatec.com/programming/customization-files-between-microsoft-dynamics-crm-systems.html >> >> >> >> >> >> El 17 de diciembre de 2013, 8:43, Camaleón <noela...@gmail.com> escribió: >> >> El Mon, 16 Dec 2013 16:54:16 -0600, troxlinux escribió: >>> >>> > hola foro , tengo un firewall instalado a mano con iptables y desde >>> hace >>> > unos días de repente veo que con un tío >>> >>> Dudo mucho que se trate de "un tío", seguramente se trate de un robot >>> automático dedicado a lanzar peticiones a tutiplén a modo de rastero para >>> ver si hay algún servicio que responde y que pueda atacar. >>> >>> > se me conecta y me hace muchas conexiones al webserver de mi servidor >>> > y me lo bota a veces pasa hasta 1 hora , hace poco se me peqo al 25 de >>> > mi servidor y me hizo lo mismo. >>> >>> Los intentos de conexión al puerto 25 (servidor de correos) son muy >>> habituales (para enviar spam), pero eso no indica que se trate de un >>> ataque de tipo DDoS, por lo general los intentos de conexión finalizan a >>> los pocos minutos, lo que dura la rutina del bot. >>> >>> > abra alguna forma de tener a estos tipos asi sin cerrar el puerto? , >>> > este servidor lo tengo en linode >>> >>> No, puedes mitigarlo pero no detenerlo. Prueba lo más sencillo que es un >>> servicio de tipo fail2ban para que bloquee las conexiones que se hacen >>> desde una misma IP y que se producen en un corto intervalo de tiempo >>> evitando asó que te sature los servicios (http y smtp). >>> >>> Saludos, >>> >>> -- >>> Camaleón >>> >>> >>> -- >>> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org >>> with a subject of "unsubscribe". Trouble? Contact >>> listmas...@lists.debian.org >>> Archive: http://lists.debian.org/pan.2013.12.17.14.44...@gmail.com >>> >>> >> >> >> -- >> rickygm >> >> http://gnuforever.homelinux.com >> > > > > -- > rickygm > > http://gnuforever.homelinux.com > -- rickygm http://gnuforever.homelinux.com