Bloqueando tráfico indeseado con “Apache Server Status”, Iptraf, Whois, Google e Iptables.

seguridad4.gifHola -;) Solo quería comentaros desde aquí un pequeño ejemplo de como usando el mod de Apache “Mod_Status” (También llamado “Server Status”) se puede detectar tráfico indeseado sobre vuestro server.

Un amigo llevaba varias semanas con problemas de tráfico en su servidor dedicado, me lo comentó y quedé en darle un vistazo, en la máquina me decía que tenía picos muy altos de carga y repentinos.

Me puse manos a la obra a ver si veía algo raro y sobre todo a ver los logs y monitorizar el server , una máquina con Debian GNU/Linux funcionando.

Estaba haciendo un “top” a la máquina cuando vi que el índice de carga subió de repente a un 4,40 y llevaba una carga (load average) de un 0,40 de media, un valor normal en estos casos.

Yo había instalado previamente Iptraf , (algo he comentado aquí sobre esa utilidad de red) y el “Apache Status” para llegado el caso ver que sucedía en la máquina. (aquí os linko a un ejemplo del mod_status rulando de apache.org para que veáis como funciona, da datos sobre ips conectadas, Kb consumidos, carga de la CPU a que host etc etc, abajo hay una leyenda de esos valores).

Lo primero que hice fue creo que un ps -aux para ver si algún proceso del “cron” había saltado o alguna aplicación tipo Spam-Assasian o similar etc lo provocaba.

Vi que no y que era el Apache quien tenía una carga más alta de la normal, abrí en una ventana Iptraf y en otra hice un netstat -an | grep :80 para ver el tráfico del puerto 80.


Tenía alguna duda pero no vi tráfico SYN típico de un DDOS, abrí el “Server Status” y di con ello , una ip estaba consumiendo el 24 % de la CPU -;), por el rango pensé que podía ser un “GoogleBoot” aunque me parecía una pasada XD, por eso le hice un Whois al momento antes de bloquear (previamente kill-9 nº_pid y fuera !).

Era de Amsterdam, búsqueda en Google sobre la IP y salía en un montón de “blacklist” de spammers reconocidos. En ese momento y ya seguro de que era lo que era, el mítico ” iptables -A INPUT -s aquí_la_ip_en_cuestión -j DROP ” y…pasó a la historia -;).

Hay muchas formas de hacerlo pero vaya, solo quería postearlo aquí para los colegas que os pasáis por aquí que se que tenéis servers (virtuales, dedicados etc) y me pedís por mail que hable algo de estas cosas, yo no soy un experto en la materia pero como a mi me fue bien, pues nada, compartirlo y si lo veís útil alegrándome.com -;)

Por supuesto este puede ser uno de los motivos, hay que comprobar muchas más cosas, estamos ahora mirando configuración del Apache, cargas del MySQL etc etc, seguimos observando el server y ya os contaré ;D

Saludos !

Dabo.

(pdta, Jorge, te pasaré la factura, unas birras y un paquete de aceitunas XD)

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1250 entradas

Navegación de la entrada


Comentarios

  • goldfinger

    Precisamente hace poco, un amigo me contaba que le pasaba algo con la carga de un server y no lo entendí muy bien lo traeré a que lo lea porque después de leer el post me cuadra lo que me decía,.. muy útil Dabo ;-))

    Saludos

  • Liamngls

    Si es el mismo Jorge que yo estoy pensando le cobraría algo más que unas birras y unas aceitunas, pero allá cada cual con su salario xD

  • Pingback:

    meneame.net
  • dabo

    Si, es el mismo Liamngls XD, pues nada, estamos bajo el efécto “menéame” y en fin, esto parece que aguanta ;D

    Gracias al resto por las reseñas en vuestras webs o blogs.

    Solo comentar que esa IP de la que hablo, estaba solo actuando sobre el puerto 80 e imagino que estaría no se, buscando todas las direcciones posibles de e mail en el foro que tiene o similar para ir recopilando pero vaya, os mentiría si os dijera que no miré la cola de qmail por si acaso -;) pero comprobé también que el server de correo no fuera un “open relay” y parece que los picos tan repentinos se deben a una mala configuración del Apache en si que unido a temas como el que os comento hacen que la carga por momento pegue unos buenos leñazos ;D.

    Pero aquí coincidió que la IP en cuestión es susceptible de estar dando caña con el Spam pero de esta manera podéis controlar muchos tipos de tráfico indeseado (boots, spiders etc)

    Saludos,

    Dabo -;)

    Saludos !

  • dabo

    Un saludo a la gente de Todo-linux.com que entra desde su portada y gracias por reseñarlo -;)

Comentarios cerrados.