Mensajes

Gracias estoy revisando y en el repositorio del server es la ultima version estable que aparece
estoy notificando al proveedor de ese server para ver si pueden ellos ayudarme a actualizar a la ultima version.

Tengo mucha informacion, que indicativo puede traer ese ataque para buscar dentro del access_log que realmente se trata de este metodo? o puedo puedo asegurar que sea un killapache el ataque que me esta llegando?

La de actualizar la vesion de apache es una medida, que otra medida puedo a aplicar para detener este ataque?

Muchas gracias por tu apoyo, y creeme que esta informacion que me copartes me esta abriendo un nuevo panorama.

Muchas gracias por el seguimiento:

Eso estaba mirando, que con muy pocos paquetes me tiran el apache.

esta es la version que tengo:

Installed Packages
Name        : httpd
Arch        : x86_64
Version     : 2.2.15
Release     : 29.el6.centos
Size        : 2.9 M
Repo        : installed
From repo   : base
Summary     : Apache HTTP Server
URL         : http://httpd.apache.org/
License     : ASL 2.0
Description : The Apache HTTP Server is a powerful, efficient, and extensible
            : web server.

y algunos de los paquetes que aparecen al momento de iniciar el fallo:

69.171.237.15 - - [24/Feb/2014:16:32:12 -0600] "GET /error404/404XXXXES.jpg HTTP/1.1" 206 167000 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"

Este se repite en varias ocasiones.

Y todos los demas paquetes son legitimos, de consultas que haciena al mismo server

[4:38]

Buenas tardes a todos.

Este Post es sumante de caracter de aprendizaje.

Tengo un servidor el cual tiene mucha actividad diariamente, y de igualmente tengo mucho intentos de acceso por ftp, ssh, y posxfix, esto me lo detecta el Fail2ban y me bannea las IP

Tambien tengo muchos escaneos diariamente, en busca de de información en mi sitio...buscando si tengo un CMS.

Creo que he aplicado muchas medidas y me han funcionado, pero aun no logro hacer que apache no se caiga...como en este ejemplo.

http://75.126.190.221/24feb2014exp.mp4

En el video muestro el alto volumen que tengo de trafico en mi sitio, pero lo interesante es en el minuto 4:38 del video, donde muestra que el apache ya esta funcionando mal y no contesta las peticiones que le estan haciendo.

Y al abrir el sitio marca error 502.

Y en los graficos de comportamiento de mi servicio apache, muestra el incremento de actividad, como lo muestra en esta imagen.


La primera pregunta es:

1.- Que método es el que usan para hacer un ataque como ese a mi sitio, el bloqueo del apache se da por el alto volumen de trafico.

2.- Como puedo modificar apache para prevenir estas caída, ya revise los post de como detener los DDoS, y he aplicado las medidas que indican, pero aun así sigo con problemas.

Como lo indique ya he estado investigando y he encontrado información muy valiosa, pero a su ves he encontrario que otros opinan lo contrario a esa medida.

Es por ello que abro este post, con la idea de entender el comportamiento de mi apache y como ir ajustando las tuercas para llegar a lo optimo.

Les agradeceria si con las ideas de los que gusten opinar al respecto, ir creando un documento informativo que les pueda servir a otros usuarios.

Buenos dias, ando buscando poder realizar una auditoria de codigo, y tambien aplicaciones de prevencion.

y solo he encontrado este sitio.

www.stopthehacker.com

Al quien conoce un sitio similiar o algo que me recomienden para poder tener mis sitios al tiro?

Saludos

Gracias a ambos por sus comentarios.

estuve revisando los logs de error
y encontre que el scaneo viene de este sitio:

http://www.newcenturynews.com/Article

que tiene un redirect a mi sitio.

Hola a todos.

En estos ultimos 3 dias, he detectado un escaneo (o  no se que nombre darle) a mi servidor, por el puerto 80.
Me estan llegando peticiones de rutas que no estan en mi servidor, y que nunca han estado.

Como estas:

122.10.91.225 - - [19/Jan/2014:03:55:26 -0600] "GET /Article/ HTTP/1.0" 404 278 "-" "Mozilla/4.0 (compatible; MSIE 7.0; windows 5.1)"
66.249.73.229 - - [19/Jan/2014:03:55:26 -0600] "GET /Article/Print.asp?ArticleID=158029&Page=1 HTTP/1.1" 404 287 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
42.121.194.212 - - [19/Jan/2014:03:55:29 -0600] "GET /Article/world/ouzhou/Index.html HTTP/1.1" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
58.18.141.131 - - [19/Jan/2014:03:55:30 -0600] "GET /Article/ShowElite.asp HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
66.249.73.229 - - [19/Jan/2014:03:55:32 -0600] "GET /Article/china/201009/20100904235145.html HTTP/1.1" 404 310 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25 (compatible; Googlebot-Mobile/2.1; +http://www.google.com/bot.html)"
66.249.73.229 - - [19/Jan/2014:03:55:37 -0600] "GET /Article/UploadFiles/200807/20080716151018416.jpg HTTP/1.1" 404 318 "-" "Googlebot-Image/1.0"
173.254.201.109 - - [19/Jan/2014:03:55:43 -0600] "GET /Article/china/Index.html HTTP/1.1" 404 294 "-" "Apache-HttpClient/4.1.1 (java 1.5)"
106.49.97.244 - - [19/Jan/2014:03:55:46 -0600] "GET /Article/junshi/Index.html HTTP/1.0" 404 295 "-" "Mozilla/5.0 (Windows NT 5.2; rv:14.0) Gecko/20100101 Firefox/14.0.1"
113.108.220.45 - - [19/Jan/2014:03:55:47 -0600] "GET / HTTP/1.1" 302 - "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
58.64.153.141 - - [19/Jan/2014:03:55:51 -0600] "GET / HTTP/1.1" 302 - "-" "-"
218.24.109.120 - - [19/Jan/2014:03:55:52 -0600] "GET /Article/gd/201205/20120507045218_3.html HTTP/1.1" 404 309 "-" "-"
204.12.252.34 - - [19/Jan/2014:03:55:53 -0600] "GET /Article/money/jinrong/Index.html HTTP/1.1" 404 302 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
204.12.252.34 - - [19/Jan/2014:03:55:54 -0600] "GET /Article/world/dongnanya/Index.html HTTP/1.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
124.165.209.163 - - [19/Jan/2014:03:55:54 -0600] "GET /Article/ShowElite.asp HTTP/1.1" 404 291 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
204.12.252.34 - - [19/Jan/2014:03:55:54 -0600] "GET /Article/taiwan/minjindang/Index.html HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
204.12.252.34 - - [19/Jan/2014:03:55:55 -0600] "GET /Article/taiwan/Index.html HTTP/1.1" 404 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

No se como detener esas peticiones, pues vienen de direntes IP's

Llevan haciendolo por 3 dias y practicamente es 24 horas que tienen levantado ese escaneo.

Alguien que me un indicio para evitar esto?

Saludos a todos

Creo que ya he encontrando a donde se conectan pero desconozco si esas librerias puedan dañar mis sitios.

Buenas tardes Brujo:
Ya aplique las medidas que me indicaste pero aun sigo teniendo intromisiones.
En que estuve revisando he encontrado esto:

Código [Seleccionar] Expandir

bash-3.2# netstat -b
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State     
tcp        0      0 xcaretexperiencia:40721 xcaretexperiencias:http TIME_WAIT 
[b]tcp        0      0 xcaretexperiencia:36811 kinkyandcosy.co.u:https ESTABLISHED[/b]
tcp6       0      0 xcaretexperiencias:http xcaretexperiencia:40723 TIME_WAIT 
[b]tcp6       0      0 xcaretexperiencias:http wa.monitoringserv:57731 TIME_WAIT[/b] 
tcp6       0      0 xcaretexperiencias:http 69.171.234.117%81:46721 TIME_WAIT 
tcp6       0    160 xcaretexperiencias:7580 customer-148-223-:51289 ESTABLISHED
tcp6       0      0 xcaretexperiencias:7580 customer-148-223-:59480 ESTABLISHED
tcp6       0      0 xcaretexperiencias:http google-proxy-66-2:39497 TIME_WAIT

Código [Seleccionar] Expandir

netstat -lx
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     STREAM     LISTENING     5351     @ISCSIADM_ABSTRACT_NAMESPACE
unix  2      [ ACC ]     STREAM     LISTENING     11189    /tmp/.font-unix/fs7100
unix  2      [ ACC ]     STREAM     LISTENING     9486     /dev/gpmctl
unix  2      [ ACC ]     STREAM     LISTENING     7024     /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     7395     @/var/run/hald/dbus-daB79HhjB8
unix  2      [ ACC ]     STREAM     LISTENING     7302     /var/run/pcscd.comm
unix  2      [ ACC ]     STREAM     LISTENING     7337     /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     7396     @/var/run/hald/dbus-gDq0l2jvr6
unix  2      [ ACC ]     STREAM     LISTENING     5335     @ISCSID_UIP_ABSTRACT_NAMESPACE
unix  2      [ ACC ]     STREAM     LISTENING     6348     /var/run/audispd_events
unix  2      [ ACC ]     STREAM     LISTENING     319982759 /var/lib/mysql/mysql.sock


Código [Seleccionar] Expandir

netstat -at
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State     
tcp        0      0 *:mysql                 *:*                     LISTEN     
tcp        0      0 *:ndmp                  *:*                     LISTEN     
tcp        0      0 localhos:x11-ssh-offset *:*                     LISTEN     
tcp        0      0 localhost.localdom:6011 *:*                     LISTEN     
tcp        0      0 xcaretexperiencia:36811 kinkyandcosy.co.u:https ESTABLISHED
tcp6       0      0 [::]:http               [::]:*                  LISTEN     
tcp6       0      0 ::1%1593:x11-ssh-offset [::]:*                  LISTEN     
tcp6       0      0 ::1%159364928:6011      [::]:*                  LISTEN     
tcp6       0      0 [::]:https              [::]:*                  LISTEN     
tcp6       0      0 [::]:7580               [::]:*                  LISTEN     
tcp6       0      0 xcaretexperiencias:http in.monitoringserv:39358 TIME_WAIT 
tcp6       0      0 xcaretexperiencias:7580 customer-148-223-:51289 ESTABLISHED
tcp6       0    960 xcaretexperiencias:7580 customer-148-223-:59480 ESTABLISHED


Pero no logro encontrar como esta ejecutando esa conexion y no se como cerrar el puerto y eliminar ese proceso

Saludos

Muchas gracias por la respuesta brujo.

La version que estoy usando es Centos 5.5
El apache es: 2.2.3-43.el5.centos.3
mysql: 5.1.58-jason.1
php: 5.2.17-jason.2

Se esta usando el CMS wordpress no se esta usando ninguna protección sobre este.

Revisare la informacion que me indicas.