Instalale a tu apache los modulos del mod_security y mod_evassive. Eso ayuda.
http://www.zdziarski.com/projects/mod_evasive/ http://www.modsecurity.org/ Saludos El día 27 de marzo de 2009 14:56, Jose Perez <[email protected]> escribió: > 2009/3/27 Robin Casas <[email protected]>: >> ataque de denegación de servicio, eso es lo que estaba pensando tambien, >> solo tengo acceso al conf del web server, pero al firewall nada, >> > Evita en lo posible el Top Posting > > Revisa los access_log y error_logs de tu Apache, identifica qué > peticiones son las extrañas (maliciosamente mal formadas) y agrupalas > para clasificarlas por dirección IP. > Aplica reglas de iptables locales (en tu propio Ubuntu) para rechazar > el trafico proveniente de dichas direcciones IP. > > Esto podría darte al menos un respiro 'por mientras'. Por otro lado > identifica: > > ¿Qué contenidos tienes publicando con tu Apache? ¿Un Website? ¿Un CMS? > ¿Qué reputación de seguridad tienen las aplicaciones hospedadas en tu > Apache? ¿Las actualizas constantemente? > > También te serviría revisar alguna documentación de Apache orientada > específicamente a manejar este tipo de situaciones: > > - Informate, descarga, instala y configura correctamente mod_security2 > - Este link podría servirte: > > http://www.crucialp.com/resources/tutorials/server-administration/flood-protection-dos-ddos-protection-apache-1.3-2.0-mod_dosevasive-avoiding-denial-of-service-attacks.php > > Sé que habían ciertas directivas de Apache (sorry, no recuerdo cuales > ahora mismo) orientadas a protegerse de este tipo de ataques de > inundación. Esto incluía opciones de configuración en los buffers (o > la cola de conexiones en espera creo), el tiempo de vida de cada > proceso de Apache, el móulo MPM utilizado (quizás mejor reemplazar > prefork por worker), y otros parámetros más que no tengo a la mente > ahora. > > Y de hecho considera la posibilidad de contar con un IDS e IPS que > proteja la red de tu servidor Web. > > Suerte > >> Estoy con ubuntu server >> >> El 27 de marzo de 2009 14:37, Jose Perez <[email protected]> escribió: >>> >>> Hola: >>> >>> 2009/3/27 Robin Casas <[email protected]>: >>> > Saludos, estos ultimos dias tengo muy saturado un web server y los >>> > mapeos >>> > que le hago me muestra a veces filtrados: >>> > >>> > 80/tcp filtered http >>> > >>> > Cuando paro el service se normaliza (80/tcp open http) pero vuelve a >>> > caer. >>> > >>> Entiendo que tú no estás en la misma red que el servidor Web ¿cierto? >>> ¿Cuál es entonces la relación física (en términos de red) entre tú y >>> el servidor Web? >>> >>> Por lo que mencioas del estado del puerto 80 ante el nmap (filtered u >>> open) me da a pensar que podría tener algún IDS e IPS que protejan al >>> servidor. >>> >>> Y casi seguro por lo que mencionas del proceso Apache con unos 400 >>> símbolos ///// me da a pensar que estás bajo un ataque de denegación >>> de servicio. >>> >>> ¿Tienes acceso a administrar el Apache? ¿Puedes instalar alguna >>> herramienta como awstats que te ayuden a obtener estadísticas sobre >>> los visitantes? >>> ¿Tienes acceso a controlar el Firewall que protege al servidor Web? >>> >>> > Gracias por sus respuestas >>> > >>> > PD: estoy detras de un firewall >>> > >>> > >>> > >>> > >>> > >>> > >>> > >>> > -- >>> > Desarrollador y Consultor de Soluciones Web en base a Software Libre. >>> > Somos libres seamoslo siempre GNU/LINUX >>> > Ubuntu User # 25215. >>> > >>> > _______________________________________________ >>> > Lista de correo Linux-plug >>> > Temática: Discusión general sobre Linux >>> > Peruvian Linux User Group (http://www.linux.org.pe) >>> > >>> > Participa suscribiéndote y escribiendo a: [email protected] >>> > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >>> > http://listas.linux.org.pe/mailman/listinfo/linux-plug >>> > >>> > IMPORTANTE: Reglas y recomendaciones >>> > http://www.linux.org.pe/listas/reglas.php >>> > http://www.linux.org.pe/listas/comportamiento.php >>> > http://www.linux.org.pe/listas/recomendaciones.php >>> > >>> _______________________________________________ >>> Lista de correo Linux-plug >>> Temática: Discusión general sobre Linux >>> Peruvian Linux User Group (http://www.linux.org.pe) >>> >>> Participa suscribiéndote y escribiendo a: [email protected] >>> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >>> http://listas.linux.org.pe/mailman/listinfo/linux-plug >>> >>> IMPORTANTE: Reglas y recomendaciones >>> http://www.linux.org.pe/listas/reglas.php >>> http://www.linux.org.pe/listas/comportamiento.php >>> http://www.linux.org.pe/listas/recomendaciones.php >> >> >> >> -- >> Desarrollador y Consultor de Soluciones Web en base a Software Libre. >> Somos libres seamoslo siempre GNU/LINUX >> Ubuntu User # 25215. >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://listas.linux.org.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php >> > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://listas.linux.org.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
