Tengo un servidor Debian (kernel: 2.6.32-5-amd64).
Normalmente ejecuto un servidor Jetty en él, pero últimamente ha comenzado a recibir toneladas de conexiones. No debería recibir todo este tráfico, ya que es un servidor bastante desconocido.
Correr:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Genera cientos de IP. Intenté agregarlos todos a la lista desplegable de iptables, pero siguen apareciendo nuevas IP.
Luego seguí adelante y detuve Jetty, y todas las conexiones desaparecieron. Para asegurarme de que esto no fuera un error o un agujero de seguridad en Jetty, encendí apache2 y todas las conexiones comenzaron de inmediato.
Parece que la gente lo está usando como servidor proxy, usandourlsnarfmuestra toneladas de solicitudes salientes a foros, sitios de publicidad y lo que sea. Está realizando tantas solicitudes que la CPU salta hacia arriba y hacia abajo y, finalmente, el servidor termina fallando.
¿Alguien sabe cómo pueden hacer esto? Parece que cualquier servidor que esté listado en el puerto 80, esto comienza inmediatamente.
¿Es este un ataque DDOS? ¿Cómo utilizan las personas mi servidor como proxy, sólo con el listado de software en el puerto 80?
Tengo hostsdeny instalado y desinflado (http://deflate.medialayer.com/), pero aún así el problema persiste.
Respuesta1
Este no es un ataque DDOS si hay tráfico real a través de su servidor.
Lo que estás describiendo no debería ser posible, pero es posible que los piratas informáticos aún hayan encontrado una manera. Si su servidor se vio comprometido, es mucho más probable que el ataque proviniera del interior de su red a través de otra computadora infectada.
Sugeriría reformatear el disco de este servidor y reinstalar todo el software. Asegúrese de que tenga un firewall tanto de la red externa como de la interna.
También debe verificar todas las computadoras en su red interna que tienen acceso de cualquier tipo a este servidor y, en el futuro, restringir aún más dicho acceso.
Siga los artículos a continuación para Apache (seguramente encontrará más información en otros lugares):
Consejos de seguridad: servidor HTTP Apache
20 formas de proteger su configuración de Apache
Hay muchos artículos para fortalecer Linux, así que aquí hay solo un par:
20 consejos de seguridad para reforzar el servidor Linux
Lista de verificación de refuerzo del servidor Red Hat Linux
Respuesta2
Realmente no es un tema, pero recomendaría actualizar su kernel ya que 2.6.32-5 es vulnerable a una explosión de raíz local.
Pero es posible que su servidor ya esté comprometido y esté siendo utilizado como servidor proxy para alguien. Si aloja un sitio web, échele un vistazo para ver si hay páginas sospechosas.
Instale también un software anti-rootkit por si acaso.
Normalmente, los ataques DDoS simplemente aparecerían como solicitudes SYN si observaras el tráfico a través de un programa como Wireshark.
Respuesta3
Gracias por toda la atención.
Finalmente escribí a mi empresa de hosting y obtuve un nuevo conjunto de IP, ahora los ataques se han detenido por completo.
Todavía tengo curiosidad sobre cómo se realizaron estos ataques, así que si alguien tiene alguna opinión, todavía estoy interesado en una buena respuesta. Pero por ahora el problema me está solucionado.
Gracias de nuevo.