Ataque a mi Servidor!!

Imagen de jonn59
0 puntos

Hola amigos, una ves mas recurro a todos ustedes, para comentarles mi problema.

Desde hace un tiempo estaba resiviendo ataques de diccionario, a mi srevicio SSH(conexion remota), hasta donde indican mis logs, todos sin exito alguno, por lo cual me di ala tarea de cambiar el puerto de escucha del servicio SSH, y que despues de 3 intentos fallidos bloqueara la ip, hasta aqui paresia estar el problema solucionado.

De una semana para aca, las petisiones web que intento relizar al server, se demoran mucho, o la mayoria de las veces no se concluyen, indicandome que el servidor web se encuentra saturado, lo mismo esta ocurriendo con los demas servicios que tengo corriendo en el servidor, este se tarda mucho en responder, o en la mayoria de las veces este no responde a mis peticiones.

Espero que alguno me pueda ayudar a tratar de corregir este problema, por que estoy casi seguro que es un problema de seguridad, y que alguien ya logro entrar a mi server o esta aun intentando entrar y me lo esta saturando con trafico.

Mi servidor cuenta con: Ubuntu Server 6.10, PHP5, Mysql5, Apache2, OpenSSL, OpenSSH, Postfix,TomCat.

y es un dell power edge 256Mb Ram, dd 10gb, pentium III 1.8 ghz.

Cabe mencionar que actualmente el servidor no resibe casi petiones por parte mia o mis compañeros, por lo que deberia responder bien alas peticiones.

El ultimo auth.log que revise de mi server me muestra un intento de acceso pero ahora por el proftpd, les muestro parte del log:

Mar 17 21:38:10 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:38:10 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:38:13 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:38:13 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:38:26 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:38:26 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:38:30 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:38:30 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:38:32 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:38:32 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:38:46 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:38:46 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:38:50 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:38:50 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:38:53 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:38:53 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:39:01 portal-ita CRON[4750]: (pam_unix) session opened for user root by (uid=0)
Mar 17 21:39:01 portal-ita CRON[4750]: (pam_unix) session closed for user root
Mar 17 21:39:06 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:39:06 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:39:09 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:39:09 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games
Mar 17 21:39:12 portal-ita proftpd: PAM-listfile: Refused user games for service proftpd
Mar 17 21:39:12 portal-ita proftpd: (pam_unix) authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=203.135.0.26 user=games

La verdad no se si ya hayan logrado ya penetrar a el server, pero no entiendo porque tarda mucho o no responde alas peticiones que le realizo.

Espero contar con sus opiniones, y ayudas, gracias.

 

 

Imagen de pablo_g
+1
0
-1

Como administrador debes hacer uso de tu capacidad analitica para ver la informacion que recibes. En principio habria un supuesto ataque al ftp, no al ssh. Por otro lado existen herramientas de proteccion frente a ataques de fuerza bruta, que es muy comun con los ftp, y que por cierto, solo en situaciones particulares lo recomendaria. De hecho yo no encuentro gran ventaja en tener un ftp frente a un servidor web. Puedes configurar un programa que se llama fail2ban, que esta en los repositorios. Por otro lado si es una simple ip la que molesta la puedes bloquear por firewall. Y la idea de cambiar un puerto a la escucha por otro no me parece muy acertada, dado que seria muy facil saber cual es el nuevo puerto a la escucha. Saludos.

http://ircchat.redirectme.net

+1
0
-1
Imagen de jonn59
+1
0
-1

Gracias por  tu respuesta amiigo y disculpa la demora, te comento he instalado el fail2ban y el server  parese haber regresado ala normalidad, te agradesco tu tu tiempo y si tengo algun otro problema lo comento.

+1
0
-1