Publicado inicialmente por
Raul
Hola,
Estas seguro de que cuando utilizas las reglas de Iptables, lo dejas guardado?. Recuerda que al reiniciar el servidor, se vuelven a su estado de inicio.
En otras palabras, para salvarlas puedes utilizar "iptables-save" luego de introducir todas las reglas.
Revisa los log's "/var/messages" para ver los movimientos. De ahi puede surgir ip's atacantes y bloquearlas.
Saludos y suerte.
sí, las reglas de iptables están correctamente guardadas.
de hecho tras los ataques sólo me queda reiniciar el servidor (porque se satura al 100%), y si compruebo las reglas con un iptables -L salen todas en su sitio.
el atacante creo que lo tengo identificado, de hecho es muy curioso, la ip corresponde a una máquina del anterior proveedor en el que estaba alojado. un proveedor de UK que me puso muchas pegas para devolverme el dinero (a pesar de que lo único que yo pedía era acogerme a su propia política de "anytime moneyback") cuando empezó a tener caídas constantes.
pero intenté bloquear su ip y tampoco tuve éxito... probé varias reglas, por ejemplo estas:
#bloqueo de ataques
-A INPUT -p tcp -m tcp -s x.x.x.x -j DROP
-A INPUT -p udp -m udp -s x.x.x.x -j DROP
o esta que se supone que debería abarcar cualquier acceso desde la ip del tipo que sea no?:
-A INPUT -s x.x.x.x -j DROP
pero nada... no entiendo por donde co** se mete...
el caso es que después de revisar los logs siempre que dicha ip me conecta al servidor, al minuto o dos minutos, el servidor mysql se va al garete....
esta es la información del access.log:
[10/Mar/2008:02:48:08 +0100] "GET /blog HTTP/1.0" 301 235 "-" "Incutio HttpClient v0.9"
he investigado el useragent "incutio httpclient" y corresponde a una clase HTTP para interactuar entre servidores (con poner el nombre el goolge te sale el primero), y también he leído que algunos bots malignos usan este useragent.
el caso es... que por el tipo de acceso parece más bien que entra por la web no?, pero buscando posibles agujeros, no logro entender por qué mi puerto 21 está respondiendo.
si por ejemplo hago una conexión con el filezilla me da el mensaje:
"Conexión establecida, esperando el mensaje de bienvenida..."
y después se corta la conexión por superar el tiempo de espera (como no hay ftpd que le conteste...).
me parece que si no encuentro solución de aquí a que termine el mes no renovaré el dedicado muy a mi pesar