Problema seguridad

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
Magnetto
Forista Nuevo
Forista Nuevo
Mensajes: 1
Registrado: Vie Ene 06, 2012 4:57 pm

Problema seguridad

Mensaje por Magnetto » Vie Ene 06, 2012 4:59 pm

Buenas mi nombre es Alejandro.
Tengo un servidor Linux (dedicado) en Canada en la empresa iweb y uso CENTOS.


Bueno, alojo varios servidores de SA:MP y pasa lo siguiente: (SA:MP un juego online)
SA:MP tiene un query que manda X información al usuario antes de entrar al servidor...

Intentare explicarlo de la forma mas fácil de comprender.
Ese query da 50 respuestas cada segundo, si le piden más de 50 personas (conexiones) cada segundo la información ese query deja de funcionar y deja de enviar la información del servidor al usuario, el servidor no se bloquea sigue funcionando y la gente puede seguir jugando pero el problema es que desde fuera (sin entrar al servidor) el servidor parece como caído, apagado.
He intentado de varias maneras intentar filtrar ese ataque. Soy consciente que es algún tipo de botnet externo creado en php que está mandando peticiones de información constantemente desde varias IP´s.
Me gustaría saber como ver a tiempo real las direcciones IP que están siquiera entrando al dedicado, es decir, IP que solicite información, IP que entre a una web alojada, todo, ¿existe forma de verlo?

Que he hecho hasta ahora:
Lo que hice principalmente fue esto:

iptables --new-chain BLACKLISTADD
iptables --append BLACKLISTADD --match recent --name BLACKLIST --set --jump DROP
iptables --append INPUT --match recent --name BLACKLIST --rcheck --seconds 300 --jump DROP
iptables --append INPUT --match recent --name BLACKLIST --remove
iptables --append INPUT --protocol udp --dport 7777 --in-interface eth0 --match state --state NEW --match recent --name BLOCK --set
iptables --append INPUT --protocol udp --dport 7777 --in-interface eth0 --match state --state NEW --match recent --update --seconds 1 --hitcount 3 --name BLOCK --jump BLACKLISTADD



Puse que en el puerto UDP 7777 ( es por donde sale el query de SA:MP y el servidor) se hace tres peticiones en un segundo bloquee dicha IP, el problema es que no surge efecto alguno.
Mi temor es que no pueda filtrar el trafico de un usuario normal a un bot... y realmente me va a joder mucho, he cambiado de IP, puerto millones de veces y claro.. no son tontos los que me están atacando y por lo tanto tardan horas inclusive minutos en atacarme nuevamente.


Soluciones para monitorizar ese trafico, detalladamente es decir IP exacta. A tener en cuenta que juega gente de paises distintos: Perú, Chile, Argentina, Ecuador, Colombia, Paraguay, Uruguay, EEUU, España...

Me gustaría que me pudieran aconsejar algo.


Saludos y gracias.
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Problema seguridad

Mensaje por mcun » Mié Ene 18, 2012 9:04 pm

No se si sera un ataque tal vez sea mala configuración .. de todos modos hay muchas herramientas para empezar a indagar

en google

comentanos ;)
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
trinidad
Forista Nuevo
Forista Nuevo
Mensajes: 7
Registrado: Sab Abr 07, 2012 4:54 am

Re: Problema seguridad

Mensaje por trinidad » Sab Abr 07, 2012 5:22 am

iptables no se usa mas para seguridad, jajaja :-)
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: Problema seguridad

Mensaje por mcun » Sab Abr 07, 2012 5:28 am

trinidad escribió:iptables no se usa mas para seguridad, jajaja :-)
iptables es un modulo del Kernel de Linux por lo que cualquier aplicación que trabaje sobre puertos trabaja sobre iptables...

no entiendo a que te refieres con que no se usa mas para seguridad......
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
neurus
Forista Legendario
Forista Legendario
Mensajes: 1805
Registrado: Dom Oct 10, 2004 7:00 am

Re: Problema seguridad

Mensaje por neurus » Sab Abr 07, 2012 7:28 am

Busca información sobre connlimit.

Ejemplo:

iptables -A INPUT -p tcp --syn --dport 7777 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset

Limitaría las conexiones a 10 por ip. No conozco el juego, no sé cuántas conexiones utiliza normalmente por ip. (conexión no es lo mismo que petición).

Y algo así ralentizaría a quien envíe demasiadas peticiones simultáneas:

iptables -I INPUT -p tcp --dport 7777 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 7777 -m state --state NEW -m recent --update --seconds 5 --hitcount 3 -j DROP


Dándole un delay de 5 segundos (que se pueden aumentar, claro) luego de la tercera petición fallida.

Hay más posibilidades, pero te dejo buscarlas. Un ejemplo.

En cuanto a ver las conexiones en "tiempo real", existe iptraf. Pero también deberás aprender a leerlo.
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje