Beh, intanto assicurati nuovamente che non ci siano processi o servizi/daemon che non usano troppe risorse sia in termini di CPU che RAM e operazioni I/O, anche se probabilmente hai già dato un'occhiata . È già buono il fatto che stai usando fail2ban, se utilizzi la porta 22 per SSH è consigliabile usare un'altra porta, preferibilmente maggiore della porta 1024 perché le prime 1024 porte sono privileged ports e solitamente i servizi vengono eseguiti come root. Usando una porta diversa non eliminerai il rischio, però ridurrai il numero di attacchi che ricevi. Oltre ad usare fail2ban e cambiare la porta, potresti anche implementare un sistema di port knocking in modo da fornire un altro layer di sicurezza, seppur minimo. Invece di usare una password usa un certificato ed eventualmente implementa un sistema di 2FA. Se poi hai un server web ti consiglio di usare anche un WAF e servizi come Cloudflare o Incapsula. Ci sono bot che effettuano continuamente scansioni di tutta la rete internet e possono esserci dei picchi in alcuni momenti come quelli che hai registrato, tuttavia solitamente ciò non basta per creare un Denial Of Service e si tratta di attacchi casuali momentanei generalmente a meno che non si tratti di un targeted attack. Se noti cose strane può essere consigliabile anche dare un'occhiata agli IOC (indicators of compromise), in poco parole fare un minimo di analisi forense al fine di escludere che non si tratti di semplici attempted attacks, ma che qualcuno abbia realmente compromesso il sistema.
Fabio Baroni Inviato da iPhone > Il giorno 11 set 2016, alle ore 10:40, Marco Bettini > <[email protected]> ha scritto: > > Buon giorno a tutti, ho un server che in questo periodo é fortemente sotto > attacco. Allego screenshot delle notifiche di ban di fail2ban ( scusate la > stupida ripetizione ) ricevuti in un arco di 2min. > > Dopo un po di giorni di scansioni perdo il controllo del server e devo > ricorrere al reset fisico. > > Fino ad oggi ho sempre attribuito la perdita di controllo del server a > qualche processo in starvation che consumava tutte le risorse ma ora non ne > sono più molto sicuro. > > Avete qualche idea su come poter scoprire se questo sia un attacco DOS sul > server invece che un semplice scan delle password? > > Grazie e buona domenica a tutti > > Marco Bettini > > -- > Google+: google.com/+MarcoBettini > LinkedIn: http://www.linkedin.com/in/bettinim > -- > Il contenuto di questa e-mail è strettamente personale ai sensi della legge > 196/03. Ogni abuso potrà essere perseguito legalmente. > -- > Solo il 10% di UNIX e' in codice assembly il resto e' C!! > Only about 10 % of UNIX is assembly code the rest is C!! > > > > <Screenshot_20160911-103142.png>
