Hola a todos, muy buen foro!

Necesitamos urgentemente ayuda, a nuestro servidor de juegos lo están atacando remotamente y han hecho colapsar el enlace del datacenter
al averiguar hemos obtenido mas de 100 ips atacantes, todas provenientes de argentina y realmente no hay firewall que los detenga, solamente el datacenter bloqueó el puerto que usamos para el server ( 5001 ) para detener los ataques (facilmente cambian sus ips)

Analizando el problema veo que la solucion mas acertiva es limitar las conexiones por ip, he averiguado y he observado que esto es posible

No disponemos de usuarios avanzados en Linux en nuestra comunidad
si pudieran explicar como se puede hacer este procedimiento les estariamos totalmente agradecidos o alguna solución para este terrible dilema de los ataques de envidiosos.

Nuestro servidor es de Grand Theft Auto: San Andreas Multiplayer 0.3x



Muy agradecido de antemano

atte

Miguel

Hola!!!

Antes que todo, cuentas con un firewall en tu servidor???

En todo caso aqui te dejo algo que te puede ayudar

http://www.debianchile.org/?q=node/20

Saludos

pues netamente es grave y raro que un servidor de linux tenga tantos ataques, pero si anotas la ip y el horario y te metes en una pagina que traza el ip y te dice el servicio que tiene los puedes demandar... ej: ip 192.168.5.3 lo anotas te vas a un página que ahora no me acuerdo cual puede ser y te fijas que servicio esta utilizando, supongamos arnet, llamas al 08005559999 entonces te comunicas con atención al cliente y le dices el ip que esta atacandote, si es en el momento muchísimo mejor porque la ip a veces es dinámica...

Editado -- Jue Dic 24, 2009 2:19 pm --




Muy buen material........

¿Como estás, Miguel?



Si te cambian los IPs, ¿para qué quieres hacer limitaciones por IP?

No conozco el software el que usas como servidor, ¿no tiene alguna opción o switch para
hacer esta limitación el mismo y hacer las limitaciones por usuario, cookie, sesión, IP, una
combinación de estas, o lo que sea?



Tu solución puede ser cualquiera de estas:

• cbq_init: Este es un script que hace lo que querés, es independiente del firewall
  y de la disribución que uses (mientras sea Linux).
• Shorewall: Este es un potente firewall con interfase de configuración web. Entre
  sus muchísimas funcionalidades, encontrarás la limitación de ancho de banda.

Espero te ayude.

el tema de la demanda no es tan viable de un pais a otro a menos que el crimen sea grande.

ahora pensando en el problema de los ataques, creo que podrias revisar informacion sobre bloqueo de MAC. no estoy metido en seguridad desde hace mucho, no se que aplicaciones habrán pero de seguro alguna debe haber. voy a revisar y si encuentro la posteo acá.

PD: cual es la ip del server , y de que es rp, tdm O Free? juego bastante SAMP

el tema de la demanda no es tan viable de un pais a otro a menos que el crimen sea grande.

ahora pensando en el problema de los ataques, creo que podrias revisar informacion sobre bloqueo de MAC. no estoy metido en seguridad desde hace mucho, no se que aplicaciones habrán pero de seguro alguna debe haber. voy a revisar y si encuentro la posteo acá.

PD: cual es la ip del server , y de que es rp, tdm O Free? juego bastante SAMP

El problema me parece que consiste en averiguar primero que tipo de ataque sufre el servidor, para poder encontrar una solución acertada.

no es lo mismo que un ataque pretenda un DDOS o una escalada de pribilejios
Para el primero debes configurar el software para que sea restrictivo busca los manuales de cada software que corras en el server asociado a ataque ddos

Si se trata de una escalada de privilegios esto te puede servir.
Existe software bueno para este tipo de cosas http://www.fail2ban.org/wiki/index.php/FAQ_spanish
es software de fácil configuración limita las conexiones a demanda del administrador s utilizado por lo general para el SSH pero se puede usar para otros puertos.

la guia que te pasaron anteriormente tambien es buena solución.

Para determinar el tipo de ataque debes leer los log del sistema de cada servicio que corra si ves muchos intentos de login fallidos por ejemplo estas frente a un intento de escalada de privilegios.

seria bueno que intentes buscar rootkits en tu sistema tambien http://es.wikipedia.org/wiki/Rootkit

aunque esto último es menos probable ya que el ataque es claramente exerno, pero mas vale prevenir.

comentanos

de hecho que tienes que poner un firewall .... podrias usar SELinux, si la distro con la que cuentas es RHEL o Centos, seria lo ideal para esto.
Sls