Muy buenas chicos,
Vengo de otra comunidad basada en las descargas por mega.co.nz, hace tiempo uno de vuestros chicos se puso en contacto conmigo debido a un bug de seguridad en nuestro foro, lo arreglamos y ya no fallo.
Ahora nos encontramos que tenemos el VPS caído debido a ataques de DDOS pero... no se me da nada bien la seguridad informática y no se que puedo seguir para intentar arreglarlo.
He mirado unos cuantos tutoriales de underc0de, pero no se si me podéis recomendar algo más...
He puesto cloudflare (versión gratuita que para ataques básicos en principio)
Unas iptables (generadas aquí http://www.mista.nu/iptables/) que quedaría así:
#!/bin/sh
# iptables script generated 2013-05-06
# http://www.mista.nu/iptables
IPT="/sbin/iptables"
# Flush old rules, old custom tables
$IPT --flush
$IPT --delete-chain
# Set default policies for all three default chains
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
# Enable free use of loopback interfaces
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# All TCP sessions should begin with SYN
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -s 0.0.0.0/0 -j DROP
# Accept inbound TCP packets
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 25 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 110 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
# Accept inbound UDP packets
$IPT -A INPUT -p udp -m udp --dport 67 -s 0.0.0.0/0 -j ACCEPT
# Accept outbound packets
$IPT -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
No se si me podéis ayudar en algun otro cosa...
Actualmente tenemos un Centos 5 y la ip del servidor es 168.144.87.101
Muchas gracias a todos de ante mano
Cuando el servidor vuelva a estar onlie cambiaré el puerto de SSH por defecto.. pero tampoco creo que todo sea eso, no?
Estoy mirando de otro post, agregar una cosa así a el iptable para limitar el número de conexiones...
# Max connection in seconds
SECONDS=100
# Max connections per IP
BLOCKCOUNT=10
# ....
# ..
# default action can be DROP or REJECT
DACTION="DROP"
$IPT -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
$IPT -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds ${SECONDS} --hitcount ${BLOCKCOUNT} -j ${DACTION}
Pero mi principal problema sigue siendo que no se por donde han podido entrar...
Apache? SSH? fallo en la web?
Tenemos un phpbb3..
Actualiza todo no sea caso que te hagan el DOS por no estar actualizado.
Todo actualizado a la ultima versión algún otro conejo??
espero no errar voy empezando.para conoser las vulnerabilidades de tu servidor nesesitas herramientas como nsauditor(windows) inmuniti canvas,saint(linux)metasploit(linux)core impact,nikto(linux),nessus,
tambien pudo aver sido un ataque de buffer overflo,shell coding,raw crashing
visita para verificar vulnerabilidades http://cve.mitre.org/ http://www.osvdb.org/
si me equivo que feo no me regañen solo orientenme :-[
La seguridad por la ocultación te puede valer por un periodo de tiempo muy corto... mientras que descubren el puerto por donde escucha SSH o cualquier otro servicio :P
Luego... si no sabes por donde te han atacado, lo primero que deberías hacer es implementar algún sistema de registro como por ejemplo un IDS para que puedas tener logs de las peticiones entrantes y así poder ver en donde hay picos y en que intervalos de tiempo... ademas también puedes utilizar un programa como el Logstalgia que te permita visualizar de forma gráfica los logs del servidor apache. Por otro lado, en apache se pueden instalar varios módulos para defender el servidor web, tales como mod_security y mod_evasive (este último esta muy bien para filtrar ataques DoS).
Luego, para proteger otros servicios como el SSH (aunque si lo tienes actualizado, un ataque de denegación es complicado) puedes utilizar fail2ban, es otra herramienta muy buena que permite filtrar ese tipo de ataques, esta herramienta utiliza también IPTables para el filtrado de peticiones.