Sep 12 2006
Bloqueando tráfico indeseado con “Apache Server Status”, Iptraf, Whois, Google e Iptables.
Hola -;) Solo quería comentaros desde aquí un pequeño ejemplo de como usando el mod de Apache “Mod_Status” (También llamado “Server Status”) se puede detectar tráfico indeseado sobre vuestro server.
Un amigo llevaba varias semanas con problemas de tráfico en su servidor dedicado, me lo comentó y quedé en darle un vistazo, en la máquina me decía que tenía picos muy altos de carga y repentinos.
Me puse manos a la obra a ver si veía algo raro y sobre todo a ver los logs y monitorizar el server , una máquina con Debian GNU/Linux funcionando.
Estaba haciendo un “top” a la máquina cuando vi que el índice de carga subió de repente a un 4,40 y llevaba una carga (load average) de un 0,40 de media, un valor normal en estos casos.
Yo había instalado previamente Iptraf , (algo he comentado aquí sobre esa utilidad de red) y el “Apache Status” para llegado el caso ver que sucedía en la máquina. (aquí os linko a un ejemplo del mod_status rulando de apache.org para que veáis como funciona, da datos sobre ips conectadas, Kb consumidos, carga de la CPU a que host etc etc, abajo hay una leyenda de esos valores).
Lo primero que hice fue creo que un ps -aux para ver si algún proceso del “cron” había saltado o alguna aplicación tipo Spam-Assasian o similar etc lo provocaba.
Vi que no y que era el Apache quien tenía una carga más alta de la normal, abrí en una ventana Iptraf y en otra hice un netstat -an | grep :80 para ver el tráfico del puerto 80.
