banear isp

Iniciado por Tonker, 19 Julio 2012, 06:08 AM

0 Miembros y 1 Visitante están viendo este tema.

Tonker

Hola que tal, tengo una pequeña web y hoy me atacaron, basicamente tengo en la web un archivo para descargar de 800 megas, el ataque consistio en tratar de descargar el archivo tantas veces como sea posible, esto multiplico los procesos de apache hasta casi colapsar la memoria ram del servidor.
Afortunadamente en ese momento estaba checando mi web y me di cuenta que estaba inaccesible, ingrese via ssh y mire los procesos de apache, empece a matarlos pero se volvian a abrir, di un netstat y me arrojo que alguien estaba haciendo multiples peticiones asi que decidi parar el apache, esperar unos minutos y reiniciarlo.
El ataque se detuvo, al parecer solo era un principiante, me puse a checar el log y rastree su ip, es de Brazil.

La cuestión es que ya hice un .htaccess bloqueando el rango de la ip algo asi como 201.132.*.*, pero mas bien quisiera saber como bloquear la ISP de este tipo, ya que la ip es dinamica.
Si alguien pudiera darme un tip para mejorar la seguridad le estaria agradecido :P

el-brujo

Recuerda que muchos programas de descargas realizan múltiples peticiones (varios hilos de descarga) lo que puede parecer un ataque, cuando en realidad no lo es. Es simplemente un usuario o varios haciendo uso intensivode estos programas.

Te recomiendo que revises el server-status del servidor, y no los procesos del Apache. Puedes plantearte la posibilidad de aumentar el MaxClients si llegas habitualmente al tope de conexiones permitidas.

Intentando detener un ataque DDoS
http://foro.elhacker.net/tutoriales_documentacion/intentando_detener_un_ataque_ddos-t137442.0.html

Revisa que hay varios módulos para Apache para no permitir más de x peticiones por ip o por segundo.

No te recomiendo banear por rango o por países, pero aquí tienes algo de información sorbe el tema:

Como limitar el acceso a un foro de cierta area geografica
http://foro.elhacker.net/desarrollo_web/como_limitar_el_acceso_a_un_foro_de_cierta_area_geografica-t314941.0.html

Ejemplos scripts PHP para Banear IP y Rangos de IP's
http://foro.elhacker.net/php/ejemplos_scripts_php_para_banear_ip_y_rangos_de_ips-t363338.0.html

jpmo4

Parece que fue un error de implementacion en tu apache, es decir seria bueno que nos indiques en que directorio ocurrió eso. Tengo la sensación de que si descargaron archivos desde tu apache fue por que listaron tus directorios. Salu2
Podras llevarme a mi novia, incluso hasta a mi perro, pero a mi computadora... jamas

   

Tonker

Hola muchas gracias por sus respuestas, hice algunas de las modificaciones, pero estoy seguro de que fue un ataque, tan seguro de que me volvieron a atacar hoy mismo por la mañana, tal vez un sql injection, por que modificaron mi base de datos, pero bueno me voy a poner a leer en el foro a ver que puedo hacer para aumentar la seguridad.