¿Lizamoon?

Lo haré el fin de semana y te comento.

Yo es que tengo unas 2000 ip's bloqueadas, creo.

xxxxxxxxxxxxxxxx

Gracias power. Lo único es que me dá pánico la bajada de rendimiento que puede tener la VPS si iptables comienza a andalizar TODOS los paquetes entrantes al puerto 80.

Yo tengo baneados 3 paises completos, y unas 150 ip's aparte y por ejemplo, si ejecuto un test de velocidad, difícilmente llego a 30 mbits. Si paro iptables, me voy a 600 mbits.
Si ahora lo pongo a analizar cadenas de texto de paquetes entrantes a apache, pfff... tendría que ver cómo le afecta.
Estoy pensándome mejor si ponerlo en la chain FORWARD del anfitrión, por no restarle efectividad a las VPS.

Al final el usuario lo resolvio sin contratarme nada, con las pocas explicaciones que le di del problema y donde podria localizarlo.

Por lo que no llege a tener acceso a la maquina para ver los logs, una pena...

Hola,

Lo tenéis aquí: http://foros.ovh.es/showthread.php?p=25376

Saludos

Sería muy interesante disponer de ese script ;-)

Tengo que buscar el script que vi en el foro de uno de los miembros, que detectaba el escanero w00t en el log de apache y lo baneaba en iptables.

Es que me cansa ya escaneo del /admin de los ...
Mirad, en un minuto cualquiera, sin rebuscar:

[Mon Mar 28 16:14:06 2011] [error] [client 41.72.215.126] File does not exist: /home/xxx/public_html/admin
[Mon Mar 28 16:14:06 2011] [error] [client 98.100.212.162] File does not exist: /home/xxx/public_html/admin
[Mon Mar 28 16:14:24 2011] [error] [client 94.75.243.135] File does not exist: /home/xxxx/public_html/admin
[Mon Mar 28 16:14:26 2011] [error] [client 203.170.83.145] File does not exist: /home/xxxx/public_html/admin
[Mon Mar 28 16:14:28 2011] [error] [client 203.170.83.145] File does not exist: /home/xxxxxx/public_html/admin
[Mon Mar 28 16:14:30 2011] [error] [client 94.75.243.135] File does not exist: /home/xxxxxxx/public_html/admin
[Mon Mar 28 16:14:31 2011] [error] [client 41.72.215.126] File does not exist: /home/xxxxxxxx/public_html/admin
[Mon Mar 28 16:14:34 2011] [error] [client 98.100.212.162] File does not exist: /home/xxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:36 2011] [error] [client 91.149.157.139] File does not exist: /home/xxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:40 2011] [error] [client 91.149.157.139] File does not exist: /home/xxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:41 2011] [error] [client 91.149.157.139] File does not exist: /home/xxxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:45 2011] [error] [client 91.149.157.139] File does not exist: /home/xxxxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:45 2011] [error] [client 203.170.83.145] File does not exist: /home/xxxxxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:47 2011] [error] [client 203.170.83.145] File does not exist: /home/xxxxxxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:51 2011] [error] [client 98.100.212.162] File does not exist: /home/xxxxxxxxxxxxxxxxx/public_html/admin

Es mas, estoy por proponer hacer un grupo de usuarios aquí para unir nuestras reglas de CSF&LF mediante algún tipo de sincronización. Sería interesante.

Podrias postear un extracto del log para crear una rule al efecto?

O saber de que hablamos?

MAs cuando esto ssitios, son la tipica plaga de copy & paste sin ningunj pudor que no ponen la fuent ni de casualidad o si las ponen no son mas que las fuentes de otro copy & paste-

No hya siquiera una referencia a los isitos de seguridad mas importantes de internet, y suena a hoax

http://www.zonavirus.com/noticias/20...sitios-web.asp
Falso Windows Stability Center

Yo llevo una semana detectando un escaneo alto (10 por minuto) de diferentes ip's, buscando el fichero /admin.php, es lo único raro que veo.
Y por supuesto el "w00t" de siempre.

¿Algun infectado por Lizamoon?

Me acaba de entrar un cliente que esta afectado, pero segun leo, es una inyeccion SQL, por lo que... es cosa de los scripts o vulnerabilidades.

Pero por lo que he leido, no es un ataque directo al servidor...

Mas Info:
http://www.tuexperto.com/2011/04/02/...e-paginas-web/