OVH Community, your new community space.

Ataque brutal contra servidor


Colagusano
28/10/2013, 05:54
Cita Publicado inicialmente por pepejlr
900 usuarios conectados al sistema? Realmente ha pasado eso o simplemente ha sido una sobrecarga interna? A mi me llegaron una vez 250 peticiones y no me colapsaron el SSH ni el resto de servicios. Tengo fail2ban para 12 horas de bloqueo.

Si son máquinas de OVH los que lo han producido, haz el reporte pertinente a abuse@ovh.net (Si es que te hacen caso).
El problema no es que han sido 900 si no 900.000...

ahora con el cortafuegos a pleno rendimiento ya he solucionado el problema aparte de librarme de china y rusia.

pepejlr
27/10/2013, 16:59
900 usuarios conectados al sistema? Realmente ha pasado eso o simplemente ha sido una sobrecarga interna? A mi me llegaron una vez 250 peticiones y no me colapsaron el SSH ni el resto de servicios. Tengo fail2ban para 12 horas de bloqueo.

Si son máquinas de OVH los que lo han producido, haz el reporte pertinente a abuse@ovh.net (Si es que te hacen caso).

PrototypE
26/10/2013, 05:46
Ante todo, cambia el puerto del ssh... Usar el 22 a menos que sea estrictamente necesario ya es darlo todo muy fácil.
Imagino que tendrás desactivado el acceso por root a ssh, sino hazlo.

Activa Selinux si te es posible.
Instala algún firewall (o si te manejas muy bien con iptables, da igual). A mi gusto, APF.

Si quieres más seguridad, que sólo se pueda conectar por ssh desde tu ip (suponiendo que la tienes estática).
O bien que sólo un usuario tenga acceso al ssh (si es posible). Que dicho usuario esté dentro de una chroot para más seguridad.

Y bueno, evidentemente, currate unas muy buenas contraseñas, y, si quieres evitar escribirlas casa veZ, haz llaves ssh.

No está de más asegurarte de que tu pc esté libre de virus, pues por mucho que defiendas 'el castillo', si te dejas la puerta trasera abierta, te van a entrar.

Incluso, si puedes, reinstala el OS, para asegurarte que no queda nada.

Si quieres ir más allá, crear particiones lógicas sin derechos de ejecución para cosas como las webs, tmp, home...

Y segurísimo que hay muchas más cosas que me estoy dejando o que miné vienen a la cabeza, pero bueno, ve probando.

Suerte!

Colagusano
26/10/2013, 05:23
Porcierto aqui van unos servidores que me han echo el ataque que son de ovh:
ks357304.kimsufi.com
ns366062.ovh.net

Colagusano
26/10/2013, 04:58
Cual ha sido mi sorpresa al encontrarme con que he tenido muchas caidas a lo largo de hoy en mi servidor y al comprobar el estado me he encontrado esto en el monitorix mi cara de asombro no me la quito de encima ya he consegido apaliar el problema poniendo el cortafuegos capando absolutamente todos los puertos a excepcion del puerto 80 y el 22.

pero bueno aqui van las graficas del monitorix ya que me gustaria saber que opinais vosotros aparte de que pienso que ha sido un dos en toda regla.

primera foto ataque con 300 bloqueos de intentos de acceso por ssh (cada ip se bloquea con fail2ban por un tiempo de 1 hora)
http://img19.imageshack.us/img19/2655/df6y.png

Grafica de los dispositivos:
http://img46.imageshack.us/img46/4160/re4s.png

Y lo que mas me preocupa que no doy credito a como a podido suceder y de si fuera verdad un total de 900.000 USUARIOS CONECTADOS AL SISTEMA (teoricamente via ssh)

http://img545.imageshack.us/img545/5215/2a90.png


Mi consulta como abordo algo tan sumamente grande.

Aparte del firewall bloqueando el acceso a todos los puertos a excepcion de los anteriormente dichos he baneado a traves del hosts.deny con ALL todos los randos de ips rusas y chinas.


PD: la cuenta de root no a sido comprometida.

Que hos parece ya que esto si que me a asustado ya que nunca me habia visto en un ataque tan sumamente serio.