OVH Community, your new community space.

¿Lizamoon?


PacoSS
05/04/2011, 14:45
Lo haré el fin de semana y te comento.

Yo es que tengo unas 2000 ip's bloqueadas, creo.

a-n-t-o-n-i-o
04/04/2011, 22:00
Cita Publicado inicialmente por pacoss
gracias power. Lo único es que me dá pánico la bajada de rendimiento que puede tener la vps si iptables comienza a andalizar todos los paquetes entrantes al puerto 80.

Yo tengo baneados 3 paises completos, y unas 150 ip's aparte y por ejemplo, si ejecuto un test de velocidad, difícilmente llego a 30 mbits. Si paro iptables, me voy a 600 mbits.
Si ahora lo pongo a analizar cadenas de texto de paquetes entrantes a apache, pfff... Tendría que ver cómo le afecta.
Estoy pensándome mejor si ponerlo en la chain forward del anfitrión, por no restarle efectividad a las vps.
xxxxxxxxxxxxxxxx

PacoSS
04/04/2011, 18:54
Cita Publicado inicialmente por Power
Gracias power. Lo único es que me dá pánico la bajada de rendimiento que puede tener la VPS si iptables comienza a andalizar TODOS los paquetes entrantes al puerto 80.

Yo tengo baneados 3 paises completos, y unas 150 ip's aparte y por ejemplo, si ejecuto un test de velocidad, difícilmente llego a 30 mbits. Si paro iptables, me voy a 600 mbits.
Si ahora lo pongo a analizar cadenas de texto de paquetes entrantes a apache, pfff... tendría que ver cómo le afecta.
Estoy pensándome mejor si ponerlo en la chain FORWARD del anfitrión, por no restarle efectividad a las VPS.

kennysamuerto
04/04/2011, 14:51
Cita Publicado inicialmente por tonysanchez
Podrias postear un extracto del log para crear una rule al efecto?

O saber de que hablamos?

MAs cuando esto ssitios, son la tipica plaga de copy & paste sin ningunj pudor que no ponen la fuent ni de casualidad o si las ponen no son mas que las fuentes de otro copy & paste-

No hya siquiera una referencia a los isitos de seguridad mas importantes de internet, y suena a hoax
Al final el usuario lo resolvio sin contratarme nada, con las pocas explicaciones que le di del problema y donde podria localizarlo.

Por lo que no llege a tener acceso a la maquina para ver los logs, una pena...

Power
04/04/2011, 14:35
Cita Publicado inicialmente por Asimov
Sería muy interesante disponer de ese script ;-)
Hola,

Lo tenéis aquí: http://foros.ovh.es/showthread.php?p=25376

Saludos

Asimov
04/04/2011, 14:33
Sería muy interesante disponer de ese script ;-)

PacoSS
04/04/2011, 13:13
Tengo que buscar el script que vi en el foro de uno de los miembros, que detectaba el escanero w00t en el log de apache y lo baneaba en iptables.

Es que me cansa ya escaneo del /admin de los ...
Mirad, en un minuto cualquiera, sin rebuscar:

[Mon Mar 28 16:14:06 2011] [error] [client 41.72.215.126] File does not exist: /home/xxx/public_html/admin
[Mon Mar 28 16:14:06 2011] [error] [client 98.100.212.162] File does not exist: /home/xxx/public_html/admin
[Mon Mar 28 16:14:24 2011] [error] [client 94.75.243.135] File does not exist: /home/xxxx/public_html/admin
[Mon Mar 28 16:14:26 2011] [error] [client 203.170.83.145] File does not exist: /home/xxxx/public_html/admin
[Mon Mar 28 16:14:28 2011] [error] [client 203.170.83.145] File does not exist: /home/xxxxxx/public_html/admin
[Mon Mar 28 16:14:30 2011] [error] [client 94.75.243.135] File does not exist: /home/xxxxxxx/public_html/admin
[Mon Mar 28 16:14:31 2011] [error] [client 41.72.215.126] File does not exist: /home/xxxxxxxx/public_html/admin
[Mon Mar 28 16:14:34 2011] [error] [client 98.100.212.162] File does not exist: /home/xxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:36 2011] [error] [client 91.149.157.139] File does not exist: /home/xxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:40 2011] [error] [client 91.149.157.139] File does not exist: /home/xxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:41 2011] [error] [client 91.149.157.139] File does not exist: /home/xxxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:45 2011] [error] [client 91.149.157.139] File does not exist: /home/xxxxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:45 2011] [error] [client 203.170.83.145] File does not exist: /home/xxxxxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:47 2011] [error] [client 203.170.83.145] File does not exist: /home/xxxxxxxxxxxxxxxx/public_html/admin
[Mon Mar 28 16:14:51 2011] [error] [client 98.100.212.162] File does not exist: /home/xxxxxxxxxxxxxxxxx/public_html/admin

Es mas, estoy por proponer hacer un grupo de usuarios aquí para unir nuestras reglas de CSF&LF mediante algún tipo de sincronización. Sería interesante.

tonysanchez
04/04/2011, 12:28
Podrias postear un extracto del log para crear una rule al efecto?

O saber de que hablamos?

MAs cuando esto ssitios, son la tipica plaga de copy & paste sin ningunj pudor que no ponen la fuent ni de casualidad o si las ponen no son mas que las fuentes de otro copy & paste-

No hya siquiera una referencia a los isitos de seguridad mas importantes de internet, y suena a hoax

PacoSS
03/04/2011, 12:29
http://www.zonavirus.com/noticias/20...sitios-web.asp
Falso Windows Stability Center

Yo llevo una semana detectando un escaneo alto (10 por minuto) de diferentes ip's, buscando el fichero /admin.php, es lo único raro que veo.
Y por supuesto el "w00t" de siempre.

kennysamuerto
02/04/2011, 22:34
¿Algun infectado por Lizamoon?

Me acaba de entrar un cliente que esta afectado, pero segun leo, es una inyeccion SQL, por lo que... es cosa de los scripts o vulnerabilidades.

Pero por lo que he leido, no es un ataque directo al servidor...

Mas Info:
http://www.tuexperto.com/2011/04/02/...e-paginas-web/