Mi servidor web ataca DDoS

Iniciado por falete, 6 Febrero 2015, 08:56 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

falete

6 Febrero 2015, 08:56 AM
Buenos días,

Tengo un server web en la oficina bajo SUSE11 (creo), me comunican que está realizando ataques DDoS a una página de argentina... que revise los logs y tal...

Soy muy novato con esto de linux, es simplemente un servidor con SUSE y un "xampp"/"lammp" para tener una web activa de esas de joomla.

Alguien me puede decir buenamente cómo mirar si estoy haciendo esos ataques? qué logs y cómo mirarlos?

Mil gracias y saludos

exploiterstack

#1
6 Febrero 2015, 11:27 AM
Hola que tal falete,

Probablemente estés siento victima de una botnet el cual seras unos de los muchos que distribuirán/realizaran el DOS.

Yo te aconsejo métodos de desinfección de botnet(que al final y al cabo no es mas que un derivado de RAT).Eso si no demores en desinfectarte que como todo esto acabe en temas judiciales por parte del administrador de la página de Argentina quiero que sepas que pasarías a ser uno de los culpables.

Un saludo!

#!drvy

#2
6 Febrero 2015, 11:36 AM

Intenta encontrar por donde han vulnerado tu servidor. El primer sitio donde mirar son los logs. Busca IP's extrañas o requests raros.

Analiza que método de DDoS han/estan utilizando. Si han conseguido acceso como usuario a tu maquina y tienen permisos para ejecutar aplicaciones podrían tener algún backdoor. Si solo han vulnerado algún servicio que permite realizar el ataque sin ser consciente (tipo DNS Amplification). O si han vulnerado tu pagina web y tienen algún script para atacar que se ejecuta por tus visitantes.

Elimina el problema. La forma mas rápida es hacer un backup solo con las cosas importantes y reinstalar lo demás. Puedes instalar herramientas anti-rootkit y analizar, actualiza todos los paquetes a sus ultimas versiones y busca shells escondidas.

Sin duda, el primer paso es analizar los logs.

Saludos

el-brujo

#3
6 Febrero 2015, 19:19 PM
No sé si tu servidor estará compremitdo, espero que no.

¿Tienes actualizado Xampp y el cms Joomla? ¿Qué versiones usas?

Usa últimas versiones y te evitarás muchos disgustos.

Y empieza a leer algo sobre seguridad en PHP.

MinusFour

#4
6 Febrero 2015, 20:23 PM
Si estas atacando la pagina atraves de http o https, por ahora simplemente puedes bloquear el acceso de salida por el puerto 80 o 443 (a menos que tengas scripts o programas que usen estos puertos):

Código (bash) [Seleccionar]

sudo iptables -A OUTPUT -m multiport -p tcp --dport 80,443 -j DROP

Te da tiempo que puedas revisar los logs de tus servicios para ver como te atacaron y luego puedes quitar la regla si quieres. Usualmente los servidores dejan abiertos esos puertos para updates del sistema aunque tambien los puedes hacer por ftp.

Podrias tambien hecharle un vistazo a las conexiones salientes por esos puertos (y los procesos que inician esas conexiones)
Imprimir
Ir Arriba Páginas1
Acciones del Usuario