We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Recibí un ataque y no fue mitigado


mgsalinero
23/09/2014, 08:21
Recuerda si vuelven a tirarte el servidor conéctate por SSH, ejecuta el comando que te he indicado más arriba y postéalo si quieres para que te demos una orientación de qué tipo de ataque es y como evitarlo.

pabloclon
22/09/2014, 17:41
Muchas gracias, en cuanto pueda me pondré al tema con iptables para dejar todo listo.

mgsalinero
22/09/2014, 17:01
Si, se puede evitar poniendo las herramientas adecuadas. Yo en mi caso hice un pequeño script que se ejecutaba cada minuto y bloqueaba todas IPs que tuviesen abiertas demasiadas conexiones (100 por ejemplo).

El script era muy efectivo contra ataques DOS desde una dirección. El problema estaba cuando este ataque era distribuido, es decir, 300 maquinas abrían 1 o 2 conexiones. Por eso te digo que debes conocer cómo te han tirado el servidor y qué método han usado. Utiliza netstat para saber el número de conexiones en cada momento. Si alguna vez te tiran abajo el servidor web debes comprobar quién está ocupando todas las conexiones posibles.

Igualmente te recomiendo bloquear el protocolo ICMP (incluyen ping, trace, etc...) excepto para los monitores de OVH. Mírate www.guias.ovh.es/FireWall

Un saludo

pabloclon
22/09/2014, 15:42
Gracias por la aclaración.

¿Existe alguna forma de evitar/parar estos ataques cuando son al servidor web? (Utilizo nginx con php5-fpm)

mgsalinero
22/09/2014, 08:45
Efectivamente parece has recibido un ataque DDOS. Tu límite de conexiones PHP son 768 y has recibido más.

El sistema anti DDOS de OVH no es 100% efectivo, como cualquier otro sistema. Muchas veces un tipo de ataque requiere una acción específica que no puede resolver un simple filtro pasivo.

Prueba a arrancar tu servidor y al cabo del tiempo prueba a listar las conexiones TCP. O, si vuelven a caerse las páginas web podrías entrar por SSH para hacerlo.
De esta manera podrás ver desde que IP/s estás recibiendo el ataque.

netstat -pnat | grep ESTABLISHED

pabloclon
21/09/2014, 18:42
Esta tarde mi VPS ha recibido un ataque (supongo DDoS) y las páginas web que tenía alojadas han estado caídas durante varios minutos, ¿no se supone que hay un sistema que mitiga automáticamente los ataques?

En los logs de php encontré esta entrada cerca de 10000 veces:
Código:
768 worker_connections are not enough
¿Qué tipo de ataque ha podido ser?¿Por qué no ha sido mitigado?

Si alguien puede ayudarme se lo agradeceré.