Ataques a un VPS

Iniciado por allinmega, Mayo 06, 2013, 07:52:28 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 06, 2013, 07:52:28 AM
Muy buenas chicos,

Vengo de otra comunidad basada en las descargas por No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, hace tiempo uno de vuestros chicos se puso en contacto conmigo debido a un bug de seguridad en nuestro foro, lo arreglamos y ya no fallo.

Ahora nos encontramos que tenemos el VPS caído debido a ataques de DDOS pero... no se me da nada bien la seguridad informática y no se que puedo seguir para intentar arreglarlo.

He mirado unos cuantos tutoriales de underc0de, pero no se si me podéis recomendar algo más...

He puesto cloudflare (versión gratuita que para ataques básicos en principio)

Unas iptables (generadas aquí No tienes permitido ver los links. Registrarse o Entrar a mi cuenta)  que quedaría así:

Código: php
#!/bin/sh

# iptables script generated 2013-05-06
# http://www.mista.nu/iptables

IPT="/sbin/iptables"

# Flush old rules, old custom tables
$IPT --flush
$IPT --delete-chain

# Set default policies for all three default chains
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

# Enable free use of loopback interfaces
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# All TCP sessions should begin with SYN
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -s 0.0.0.0/0 -j DROP

# Accept inbound TCP packets
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 25 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 110 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT

# Accept inbound UDP packets
$IPT -A INPUT -p udp -m udp --dport 67 -s 0.0.0.0/0 -j ACCEPT

# Accept outbound packets
$IPT -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT


No se si me podéis ayudar en algun otro cosa...

Actualmente tenemos un Centos 5 y la ip del servidor es 168.144.87.101


Muchas gracias a todos de ante mano
Mayo 06, 2013, 07:53:32 AM #1
Cuando el servidor vuelva a estar onlie cambiaré el puerto de SSH por defecto.. pero tampoco creo que todo sea eso, no?
Mayo 06, 2013, 08:25:07 AM #2
Estoy mirando de otro post, agregar una cosa así a el iptable para limitar el número de conexiones...


Código: php
# Max connection in seconds
SECONDS=100
# Max connections per IP
BLOCKCOUNT=10
# ....
# ..
# default action can be DROP or REJECT 
DACTION="DROP"
$IPT -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
$IPT -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds ${SECONDS} --hitcount ${BLOCKCOUNT} -j ${DACTION}


Pero mi principal problema sigue siendo que no se por donde han podido entrar...

Apache? SSH? fallo en la web?

Tenemos un phpbb3..
Mayo 06, 2013, 09:54:17 AM #3
Actualiza todo no sea caso que te hagan el DOS por no estar actualizado.
Mayo 08, 2013, 04:28:29 AM #4
Todo actualizado a la ultima versión algún otro conejo??

Mayo 08, 2013, 07:02:36 AM #5 Ultima modificación: Mayo 08, 2013, 07:07:09 AM por aika
espero no errar voy empezando.para conoser las vulnerabilidades de tu servidor nesesitas herramientas como nsauditor(windows) inmuniti canvas,saint(linux)metasploit(linux)core impact,nikto(linux),nessus,
tambien pudo aver sido un ataque de buffer overflo,shell coding,raw crashing
visita para verificar vulnerabilidades No tienes permitido ver los links. Registrarse o Entrar a mi cuenta     No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
si me equivo que feo no me regañen solo orientenme  :-[
Mayo 15, 2013, 01:57:15 PM #6
La seguridad por la ocultación te puede valer por un periodo de tiempo muy corto... mientras que descubren el puerto por donde escucha SSH o cualquier otro servicio :P
Luego... si no sabes por donde te han atacado, lo primero que deberías hacer es implementar algún sistema de registro como por ejemplo un IDS para que puedas tener logs de las peticiones entrantes y así poder ver en donde hay picos y en que intervalos de tiempo... ademas también puedes utilizar un programa como el Logstalgia que te permita visualizar de forma gráfica los logs del servidor apache. Por otro lado, en apache se pueden instalar varios módulos para defender el servidor web, tales como mod_security y mod_evasive (este último esta muy bien para filtrar ataques DoS).
Luego, para proteger otros servicios como el SSH (aunque si lo tienes actualizado, un ataque de denegación es complicado) puedes utilizar fail2ban, es otra herramienta muy buena que permite filtrar ese tipo de ataques, esta herramienta utiliza también IPTables para el filtrado de peticiones.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Nunca discutas con un idiota, podria no notarse la diferencia"
Kant.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario