Bloqueando tráfico indeseado con “Apache Server Status”, Iptraf, Whois, Google e Iptables.
Escrito por: dabo en GNU/Linux, Hacking | Redes, Seguridad Informatica, Tutoriales | GuÃas
Hola -;) Solo querÃa comentaros desde aquà un pequeño ejemplo de como usando el mod de Apache “Mod_Status” (También llamado “Server Status”) se puede detectar tráfico indeseado sobre vuestro server.
Un amigo llevaba varias semanas con problemas de tráfico en su servidor dedicado, me lo comentó y quedé en darle un vistazo, en la máquina me decÃa que tenÃa picos muy altos de carga y repentinos.
Me puse manos a la obra a ver si veÃa algo raro y sobre todo a ver los logs y monitorizar el server , una máquina con Debian GNU/Linux funcionando.
Estaba haciendo un “top” a la máquina cuando vi que el Ãndice de carga subió de repente a un 4,40 y llevaba una carga (load average) de un 0,40 de media, un valor normal en estos casos.
Yo habÃa instalado previamente Iptraf , (algo he comentado aquà sobre esa utilidad de red) y el “Apache Status” para llegado el caso ver que sucedÃa en la máquina. (aquà os linko a un ejemplo del mod_status rulando de apache.org para que veáis como funciona, da datos sobre ips conectadas, Kb consumidos, carga de la CPU a que host etc etc, abajo hay una leyenda de esos valores).
Lo primero que hice fue creo que un ps -aux para ver si algún proceso del “cron” habÃa saltado o alguna aplicación tipo Spam-Assasian o similar etc lo provocaba.
Vi que no y que era el Apache quien tenÃa una carga más alta de la normal, abrà en una ventana Iptraf y en otra hice un netstat -an | grep :80 para ver el tráfico del puerto 80.
TenÃa alguna duda pero no vi tráfico SYN tÃpico de un DDOS, abrà el “Server Status” y di con ello , una ip estaba consumiendo el 24 % de la CPU -;), por el rango pensé que podÃa ser un “GoogleBoot” aunque me parecÃa una pasada XD, por eso le hice un Whois al momento antes de bloquear (previamente kill-9 nº_pid y fuera !).
Era de Amsterdam, búsqueda en Google sobre la IP y salÃa en un montón de “blacklist” de spammers reconocidos. En ese momento y ya seguro de que era lo que era, el mÃtico ” iptables -A INPUT -s aquÃ_la_ip_en_cuestión -j DROP ” y…pasó a la historia -;).
Hay muchas formas de hacerlo pero vaya, solo querÃa postearlo aquà para los colegas que os pasáis por aquà que se que tenéis servers (virtuales, dedicados etc) y me pedÃs por mail que hable algo de estas cosas, yo no soy un experto en la materia pero como a mi me fue bien, pues nada, compartirlo y si lo veÃs útil alegrándome.com -;)
Por supuesto este puede ser uno de los motivos, hay que comprobar muchas más cosas, estamos ahora mirando configuración del Apache, cargas del MySQL etc etc, seguimos observando el server y ya os contaré ;D
Saludos !
Dabo.
(pdta, Jorge, te pasaré la factura, unas birras y un paquete de aceitunas XD)
Otras entradas que pueden estar relacionadas con el tema
Apache Server 2.0.61 y 2.2.6 Released, descarga disponible. | ModSecurity, Firewall de aplicaciones Web Open Source. | Nueva página sobre Apache Server en Castellano | El software también hace extraños compañeros de cama (Apache y Microsoft) | Instalación de servidor Web con Debian GNU/Linux, MySQL, PHP, Apache etc | Acabé con las “obras” en el server, os cuento -;) |
Entradas (RSS)
Septiembre 12th, 2006 a las 8:48 pm
Precisamente hace poco, un amigo me contaba que le pasaba algo con la carga de un server y no lo entendà muy bien lo traeré a que lo lea porque después de leer el post me cuadra lo que me decÃa,.. muy útil Dabo ;-))
Saludos
Septiembre 12th, 2006 a las 10:32 pm
Si es el mismo Jorge que yo estoy pensando le cobrarÃa algo más que unas birras y unas aceitunas, pero allá cada cual con su salario xD
Septiembre 12th, 2006 a las 10:40 pm
Localizar y bloquear tráfico en el servidor…
Un ejemplo de como localizar IP’s que nos están sobrecargando el servidor usando el mod_status del apache (server status para los amigos). Pasos a seguir antes de banear la IP con el mÃtico iptables. Se aceptan sugerencias sobre otros métodos ;-)…
Septiembre 13th, 2006 a las 3:57 am
[...] http://www.daboblog.com/2006/09/12/bloqueando-trafico-indeseado-con-apache-server-status-iptraf-whois-google-e-iptables/ [...]
Septiembre 13th, 2006 a las 5:59 am
[...] Un artículo de Dabo absolutamente imprescindible. Claro que tienes que tener un control completo de tu servidor, cosa que muchos usuarios de hosting no tenemos. Pero si tienes el control de tu servidor, anota este artículo, especialmente si utilizáis phpBB, porque porque estáis completamente desprotegidos del SPAM. [...]
Septiembre 13th, 2006 a las 11:06 am
Si, es el mismo Liamngls XD, pues nada, estamos bajo el efécto “menéame” y en fin, esto parece que aguanta ;D
Gracias al resto por las reseñas en vuestras webs o blogs.
Solo comentar que esa IP de la que hablo, estaba solo actuando sobre el puerto 80 e imagino que estarÃa no se, buscando todas las direcciones posibles de e mail en el foro que tiene o similar para ir recopilando pero vaya, os mentirÃa si os dijera que no miré la cola de qmail por si acaso -;) pero comprobé también que el server de correo no fuera un “open relay” y parece que los picos tan repentinos se deben a una mala configuración del Apache en si que unido a temas como el que os comento hacen que la carga por momento pegue unos buenos leñazos ;D.
Pero aquà coincidió que la IP en cuestión es susceptible de estar dando caña con el Spam pero de esta manera podéis controlar muchos tipos de tráfico indeseado (boots, spiders etc)
Saludos,
Dabo -;)
Saludos !
Septiembre 14th, 2006 a las 10:15 pm
Un saludo a la gente de Todo-linux.com que entra desde su portada y gracias por reseñarlo -;)
.:: Ir al inicio en DaboBlog ::.