2009/3/27 Robin Casas <[email protected]>: > ataque de denegación de servicio, eso es lo que estaba pensando tambien, > solo tengo acceso al conf del web server, pero al firewall nada, > Evita en lo posible el Top Posting
Revisa los access_log y error_logs de tu Apache, identifica qué peticiones son las extrañas (maliciosamente mal formadas) y agrupalas para clasificarlas por dirección IP. Aplica reglas de iptables locales (en tu propio Ubuntu) para rechazar el trafico proveniente de dichas direcciones IP. Esto podría darte al menos un respiro 'por mientras'. Por otro lado identifica: ¿Qué contenidos tienes publicando con tu Apache? ¿Un Website? ¿Un CMS? ¿Qué reputación de seguridad tienen las aplicaciones hospedadas en tu Apache? ¿Las actualizas constantemente? También te serviría revisar alguna documentación de Apache orientada específicamente a manejar este tipo de situaciones: - Informate, descarga, instala y configura correctamente mod_security2 - Este link podría servirte: http://www.crucialp.com/resources/tutorials/server-administration/flood-protection-dos-ddos-protection-apache-1.3-2.0-mod_dosevasive-avoiding-denial-of-service-attacks.php Sé que habían ciertas directivas de Apache (sorry, no recuerdo cuales ahora mismo) orientadas a protegerse de este tipo de ataques de inundación. Esto incluía opciones de configuración en los buffers (o la cola de conexiones en espera creo), el tiempo de vida de cada proceso de Apache, el móulo MPM utilizado (quizás mejor reemplazar prefork por worker), y otros parámetros más que no tengo a la mente ahora. Y de hecho considera la posibilidad de contar con un IDS e IPS que proteja la red de tu servidor Web. Suerte > Estoy con ubuntu server > > El 27 de marzo de 2009 14:37, Jose Perez <[email protected]> escribió: >> >> Hola: >> >> 2009/3/27 Robin Casas <[email protected]>: >> > Saludos, estos ultimos dias tengo muy saturado un web server y los >> > mapeos >> > que le hago me muestra a veces filtrados: >> > >> > 80/tcp filtered http >> > >> > Cuando paro el service se normaliza (80/tcp open http) pero vuelve a >> > caer. >> > >> Entiendo que tú no estás en la misma red que el servidor Web ¿cierto? >> ¿Cuál es entonces la relación física (en términos de red) entre tú y >> el servidor Web? >> >> Por lo que mencioas del estado del puerto 80 ante el nmap (filtered u >> open) me da a pensar que podría tener algún IDS e IPS que protejan al >> servidor. >> >> Y casi seguro por lo que mencionas del proceso Apache con unos 400 >> símbolos ///// me da a pensar que estás bajo un ataque de denegación >> de servicio. >> >> ¿Tienes acceso a administrar el Apache? ¿Puedes instalar alguna >> herramienta como awstats que te ayuden a obtener estadísticas sobre >> los visitantes? >> ¿Tienes acceso a controlar el Firewall que protege al servidor Web? >> >> > Gracias por sus respuestas >> > >> > PD: estoy detras de un firewall >> > >> > >> > >> > >> > >> > >> > >> > -- >> > Desarrollador y Consultor de Soluciones Web en base a Software Libre. >> > Somos libres seamoslo siempre GNU/LINUX >> > Ubuntu User # 25215. >> > >> > _______________________________________________ >> > Lista de correo Linux-plug >> > Temática: Discusión general sobre Linux >> > Peruvian Linux User Group (http://www.linux.org.pe) >> > >> > Participa suscribiéndote y escribiendo a: [email protected] >> > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> > http://listas.linux.org.pe/mailman/listinfo/linux-plug >> > >> > IMPORTANTE: Reglas y recomendaciones >> > http://www.linux.org.pe/listas/reglas.php >> > http://www.linux.org.pe/listas/comportamiento.php >> > http://www.linux.org.pe/listas/recomendaciones.php >> > >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://listas.linux.org.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php > > > > -- > Desarrollador y Consultor de Soluciones Web en base a Software Libre. > Somos libres seamoslo siempre GNU/LINUX > Ubuntu User # 25215. > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://listas.linux.org.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
