comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Ataques a un VPS

  • 6 Respuestas
  • 3249 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado allinmega

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« en: Mayo 06, 2013, 07:52:28 am »
Muy buenas chicos,

Vengo de otra comunidad basada en las descargas por mega.co.nz, hace tiempo uno de vuestros chicos se puso en contacto conmigo debido a un bug de seguridad en nuestro foro, lo arreglamos y ya no fallo.

Ahora nos encontramos que tenemos el VPS caído debido a ataques de DDOS pero... no se me da nada bien la seguridad informática y no se que puedo seguir para intentar arreglarlo.

He mirado unos cuantos tutoriales de underc0de, pero no se si me podéis recomendar algo más...

He puesto cloudflare (versión gratuita que para ataques básicos en principio)

Unas iptables (generadas aquí No tienes permisos para ver links. Registrate o Entra con tu cuenta)  que quedaría así:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
#!/bin/sh

# iptables script generated 2013-05-06
# http://www.mista.nu/iptables

IPT="/sbin/iptables"

# Flush old rules, old custom tables
$IPT --flush
$IPT --delete-chain

# Set default policies for all three default chains
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

# Enable free use of loopback interfaces
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# All TCP sessions should begin with SYN
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -s 0.0.0.0/0 -j DROP

# Accept inbound TCP packets
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 25 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 110 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT

# Accept inbound UDP packets
$IPT -A INPUT -p udp -m udp --dport 67 -s 0.0.0.0/0 -j ACCEPT

# Accept outbound packets
$IPT -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

No se si me podéis ayudar en algun otro cosa...

Actualmente tenemos un Centos 5 y la ip del servidor es 168.144.87.101


Muchas gracias a todos de ante mano

Desconectado allinmega

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #1 en: Mayo 06, 2013, 07:53:32 am »
Cuando el servidor vuelva a estar onlie cambiaré el puerto de SSH por defecto.. pero tampoco creo que todo sea eso, no?

Desconectado allinmega

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #2 en: Mayo 06, 2013, 08:25:07 am »
Estoy mirando de otro post, agregar una cosa así a el iptable para limitar el número de conexiones...


Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
# Max connection in seconds
SECONDS=100
# Max connections per IP
BLOCKCOUNT=10
# ....
# ..
# default action can be DROP or REJECT
DACTION="DROP"
$IPT -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
$IPT -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds ${SECONDS} --hitcount ${BLOCKCOUNT} -j ${DACTION}

Pero mi principal problema sigue siendo que no se por donde han podido entrar...

Apache? SSH? fallo en la web?

Tenemos un phpbb3..

Desconectado stakewinner00

  • *
  • Underc0der
  • Mensajes: 31
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Mayo 06, 2013, 09:54:17 am »
Actualiza todo no sea caso que te hagan el DOS por no estar actualizado.

Desconectado allinmega

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #4 en: Mayo 08, 2013, 04:28:29 am »
Todo actualizado a la ultima versión algún otro conejo??


Desconectado aika

  • *
  • Underc0der
  • Mensajes: 181
  • Actividad:
    0%
  • Reputación 0
  • ehie binah
    • Ver Perfil
    • http://codenameaika.blogspot.mx/
    • Email
« Respuesta #5 en: Mayo 08, 2013, 07:02:36 am »
espero no errar voy empezando.para conoser las vulnerabilidades de tu servidor nesesitas herramientas como nsauditor(windows) inmuniti canvas,saint(linux)metasploit(linux)core impact,nikto(linux),nessus,
tambien pudo aver sido un ataque de buffer overflo,shell coding,raw crashing
visita para verificar vulnerabilidades No tienes permisos para ver links. Registrate o Entra con tu cuenta     No tienes permisos para ver links. Registrate o Entra con tu cuenta
si me equivo que feo no me regañen solo orientenme  :-[
« Última modificación: Mayo 08, 2013, 07:07:09 am por aika »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuentaNo tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Adastra

  • *
  • Underc0der
  • Mensajes: 42
  • Actividad:
    0%
  • Reputación 0
  • Endless Learner
    • Ver Perfil
    • thehackerway
    • Email
« Respuesta #6 en: Mayo 15, 2013, 01:57:15 pm »
La seguridad por la ocultación te puede valer por un periodo de tiempo muy corto... mientras que descubren el puerto por donde escucha SSH o cualquier otro servicio :P
Luego... si no sabes por donde te han atacado, lo primero que deberías hacer es implementar algún sistema de registro como por ejemplo un IDS para que puedas tener logs de las peticiones entrantes y así poder ver en donde hay picos y en que intervalos de tiempo... ademas también puedes utilizar un programa como el Logstalgia que te permita visualizar de forma gráfica los logs del servidor apache. Por otro lado, en apache se pueden instalar varios módulos para defender el servidor web, tales como mod_security y mod_evasive (este último esta muy bien para filtrar ataques DoS).
Luego, para proteger otros servicios como el SSH (aunque si lo tienes actualizado, un ataque de denegación es complicado) puedes utilizar fail2ban, es otra herramienta muy buena que permite filtrar ese tipo de ataques, esta herramienta utiliza también IPTables para el filtrado de peticiones.
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta

"Nunca discutas con un idiota, podria no notarse la diferencia"
Kant.

 

¿Te gustó el post? COMPARTILO!



[SOLUCIONADO] Busco Este Pdf Ataques-de-Redes-IPv4-e-IPv6-2

Iniciado por emanuelvasilack

Respuestas: 5
Vistas: 4094
Último mensaje Abril 26, 2017, 08:28:14 am
por novak
[SOLUCIONADO] Crear laboratorio de paginas vulnerables a multiples ataques web

Iniciado por Theraritho5

Respuestas: 5
Vistas: 1771
Último mensaje Diciembre 13, 2014, 01:50:23 am
por Theraritho5
Probando ataques DOS en mi maquina virtual sin buenos resultados

Iniciado por nexusz

Respuestas: 7
Vistas: 2252
Último mensaje Mayo 08, 2016, 10:14:37 pm
por seth
[SOLUCIONADO] Evitar ataques ddos con cloudflare en joomla?

Iniciado por xavicibi

Respuestas: 13
Vistas: 3256
Último mensaje Enero 12, 2015, 02:33:18 pm
por ANTRAX
[SOLUCIONADO] Ataques continuos DDos en VPS 1and1

Iniciado por NikoMdq

Respuestas: 4
Vistas: 1084
Último mensaje Noviembre 16, 2015, 12:48:35 pm
por Gabriela