Se detecto que mi web server estuvo fuera de servicio por 10 minutos en dos ocasiones, al revisar el access log de apache a la hora de la caída se detecto en cada ocacion un "client denied access" en diferentes módulos de mi CMS; al revisar el access log encontre a la hora que se registro la caída el acceso desde las IP's 68.180.230.101 y 68.180.230.101
¿algún consejo o dato que pudiera ayudar a identificar esto como un atraque o como un error en mi CMS?
Gracias
No seria mas sencillo pedirle en RFO a la compañia de hosting en donde esta alojado el webserver?, mas me parece un tema de configuracion de backbone que un tema de seguridad.
Cita de: andavid en 15 Febrero 2016, 06:57 AM
No seria mas sencillo pedirle en RFO a la compañia de hosting en donde esta alojado el webserver?, mas me parece un tema de configuracion de backbone que un tema de seguridad.
No tengo web hosting, mi página web esta hospedada en mi servidor con mi enlace
En ese caso si se descarta que es un problema de configuracion del apache solo queda pedirle el RFO al ISP.
Cita de: andavid en 16 Febrero 2016, 05:07 AM
En ese caso si se descarta que es un problema de configuracion del apache solo queda pedirle el RFO al ISP.
Me perdí un poco por un posible error de redacción
¿descarto entonces un problema de configuración del apache? si lo descarto ¿por qué lo descartaría?
Me pudieras explicar un poco sobre la relación del RFO con el problema que se presentó
Gracias.
Si el problema de la conexion no se debe a una configuracion del servidor, entonces hay que ir un paso mas adelante, y eso significa la conexion brindada por el ISP. No creo que microsoft o yahoo hayan hecho un DDOS a un servidor casero, osea no tiene sentido. Tiene alguna forma de monitorear la conexion aparte de los logs del servidor?, graficas tipo cacti, o el router de frontera guardan logs?. Cabe recordar que un RFO traduce "request for outage"
Se tiene CACTI y Zenoss para los enlaces que ya fueron revisados y no se presento nada extraño por parte del ISP se revisó el Nagios y nada extraño solo el acceso en la fecha y hora de la caida
Osea supongo que si se descarto el ISP es porque o 1) Hay otros equipos en la red LAN que conectan al mismo router de salida a internet y no vieron afectado el servicio a esa hora o 2) El ISP informa que dentro de su red no hubo novedades de alguna caida que hubiese tenido lugar durante 10 minutos en la fecha informada. Si es así, entonces claramente el problema se aisla en el servidor. Sin embargo quedo una pregunta sin responder, el router de frontera con la salida a internet, tuvo algun log o evento relacionado? Se cayo alguna interface o vlan asignada al servidor?. Si el servidor se cayo el CACTI hubiese mostrado en la grafica la caída no?
Hay otros servidores en la red, unos publicados en internet y otro no así como unos con apache y otros con IIS no se identifican hasta ahora los accesos por esas IP's, se monitorean los enlaces y tampoco se presento caida en esa fecha y en esa hora.
No hubo ningun evento en el router, ninguna caida o actividad en el router.
El CACTI se utiliza unicamente para la parte de enlaces.
Entonces esta mas que claro que si otros elementos dentro de la red LAN vieron afectados los servicios, y si en el router de borde tampoco aparecen logs, entonces el problema esta aislado al servidor.
En el router no hubo caída pero si se mostró el paso de esa IP por el router hasta el servidor