1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Seguridad ¿Ataque? miles de entradas en error_log Apache

Tema en 'Asuntos Técnicos' iniciado por ClusterIP, 2 Jul 2015.

  1. Estudiseno

    Estudiseno Usuario activo

    Pues nada... un rewrite de ahí a google y a volar

    y si estás usando plesk usa NGINX para evitar eso y no sobrecargas apache
     
  2. Tienes vps o dedicado? venet0 o eth0?

    También te recomiendo que dejes de usar IPv6, pues este, todavía es vulnerable a ataques.

    También te recomiendo que crees otro usuario para apache y lo añadas en visudo. apache no debe trabajar con el usuario root.

    Tienes configurado el archivo robots.txt para bloquear tráfico?
     
    A ClusterIP le gusta esto.
  3. Skamasle

    Skamasle Usuario activo


    Blazinfast.io son jodidos pero les mandas un abuse y listo.. es tan sencillo como eso.

    En todo caso si vez el log ya no tiene acceso a los archivos, te da un deny.

    Por otro lado si no afecta al servidor y ya tiene un deny más no puedes hacer al menos que bloquees por iptables.

    Creo que te estas estresando mucho por un ataque muy pequeño que no te esta afectando ni en la carga ni en nada, no quiero pensar cuando te ataquen con un par de millones de IPs y tengas que hacer muchos filtros.

    Bloquea el rango por iptables y manda un abuse a la empresa que gestiona la IP y dormirás tranquilo.
     
    A ClusterIP y nonamef191118 les gusta esto.
  4. ClusterIP

    ClusterIP Usuario activo

    Gracias a tod@s por el apoyo prestado. En especial quiero mencionar a @f.villalba. El .htaccess está trabajando bien pues el log recoge los bloqueos. Pero, ¿porqué si niega el acceso, sigue escribiéndose la IP 185.62.188.192 en el error_log? ¿No debería bloquearse sin más y no reportarlo?
    CODE, HTML o PHP Insertado:
    [Sun Jul 19 18:21:51 2015] [error] [client 185.62.188.192] client denied by server configuration: /var/www/vhosts/default/htdocs/plugins
    [Sun Jul 19 18:21:51 2015] [error] [client 185.62.188.192] client denied by server configuration: /var/www/vhosts/default/htdocs/plugins
    [Sun Jul 19 18:21:51 2015] [error] [client 185.62.188.192] client denied by server configuration: /var/www/vhosts/default/htdocs/plugins
    [Sun Jul 19 18:21:51 2015] [error] [client 185.62.188.192] client denied by server configuration: /var/www/vhosts/default/htdocs/plugins
    [Sun Jul 19 18:21:51 2015] [error] [client 185.62.188.192] client denied by server configuration: /var/www/vhosts/default/htdocs/plugins
    [Sun Jul 19 18:21:51 2015] [error] [client 185.62.188.192] client denied by server configuration: /var/www/vhosts/default/htdocs/plugins
    [Sun Jul 19 18:21:52 2015] [error] [client 185.62.188.192] client denied by server configuration: /var/www/vhosts/default/htdocs/plugins
    
     
  5. ClusterIP

    ClusterIP Usuario activo

    Es un VPS. Sigo tu consejo sobre el soporte IPv6, actualmente lo tengo activado pero sin uso.
    Tengo añadido un usuario a visudo con permisos y PermitRootLogin no en sshd.config.
    No tengo configurado el archivo robots.txt para el bloqueo de tráfico. Leeré sobre ello.

    Gracias de nuevo
     
  6. ClusterIP

    ClusterIP Usuario activo

    Correcto da deny. No había pensado en algo tan sencillo como reportar un abuse a blazinfast.io (gracias por el aporte). La cuestión es que sigue apareciendo la IP después de estar bloqueada en iptables.

    Gracias por restarle importancia al impacto del ataque. Al principio éste conseguía subir la carga cpu de apache por encima del 40%, después de aplicar los consejos de los compañeros se ha conseguido mitigar. Yo tampoco quiero ni pensar en el ataque desde millones de IP´s. Espero aprender lo más rápido posible para no estresarme como lo hago y solucionar este tipo de cuestiones que me consta son de lo más normal.

    ¡Gracias por tu aporte Skamasle!
     
  7. Te recomiendo que desactives IPv6. Si no lo usas es mejor tenerlo desactivado para evitar que te ataquen. También veo que tienes las rpc activas y supongo que habrás dejado algo más abierto.

    CODE, HTML o PHP Insertado:
    /etc/modprobe.d/disabled.conf
    
    options ipv6 disable=1
    
    /etc/sysconfig/network
    
    NETWORKING_IPV6=no
    IPV6INIT=no
    Las reglas solo hace falta que las pongas en versión IPv4. Elimina también el paquete ip6tables.
     
  8. Prueba a poner -i venet0 al ser vps no vaya a ser que te este cogiendo por eth0 en vez de venet0. El vps es virtuozzo o openvz?
     
    A ClusterIP le gusta esto.
  9. ClusterIP

    ClusterIP Usuario activo

    Es vituozzo
     
  10. Si es virtuozzo tu interfaz de red es venet0. Puedes comprobarlo con el comando ifconfig.

    Usa el parámetro -i de interfaz en la regla de iptables. Que quede así:

    CODE, HTML o PHP Insertado:
    iptables -A INPUT -i venet0 -p tcp --dport 80 -s la ip -j DROP
    Creo que igual por eso no te bloquea, por qué te lo está pasando por eth0. Esto debería bloquear dicha ip.

    Como te he comentado ya también desactiva iptables en versión IPv6 y elimina las RPC "Remote Procedure Call"

    Salu2,
     
    A ClusterIP le gusta esto.
  11. ClusterIP

    ClusterIP Usuario activo

    Finalmente a quedado mitigado. Gracias a tod@s por el apoyo prestado, especialmente a @f.villalba

    Saludos
     
    A nonamef191118 le gusta esto.
  12. Darkis

    Darkis Nuevo usuario

    Puedes expulsar los siguientes rangos de IP's a través del firewall y/o por .htaccess como dicen los compañeros arriba.

    192.185.0.0/0
    162.158.0.0/0
    69.41.0.0/0
    50.23.0.0/0
    219.94.0.0/0
    69.73.0.0/0


    No creo que esos "Bots" vayan a tener mas de 10-20 rangos de IP's para molestar, un rango de ip tiene miles de ips pero si las expulsas así como te lo pase por ejemplo te libras de todos ellos en menos de lo que canta un gallo ya que la regla "/0" incluye expulsar todo aquel ip después de los números "69.73" como ejemplo.

    También puedes re-direccionar los errores 404 con un simple ErrorDocument en el .htaccess a una pagina existente en ".html" por seguridad.

    Salud2s.
     
    A ClusterIP le gusta esto.
  13. @ClusterIP aplica el venet0 a todas las reglas de iptables en tus servidores virtuozzo o openvz. Me parecía raro que con esa regla, no baneara la ip y mirando-lo bien, era que no especificabas el interfaz. "-i"

    Si usas fwbuilder para las reglas, yo lo hago a pelo, uno que es friki, se lo puedes especificar también.

    Salu2 y me alegro.
     
    A ClusterIP le gusta esto.
  14. ClusterIP

    ClusterIP Usuario activo

    Hola @Darkis

    En primer lugar, agradecerte el aporte, siempre da luz al camino. Como se suele decir "más ven 4 ojos que 2".

    De momento, me parece algo drástico bannear los dos últimos octetos del rango. Como sugirió @Skamasle, puse en conocimiento del ISP el incidente y no he obtenido contestación por su parte. No es profesional, pero lamentablemente, la vida es así.
     
    A nonamef191118 le gusta esto.
  15. A mí me pasa lo mismo cuando mando los logs de mi router con ataques UDP flood por parte de un buscador a nemesys de movistar pasan de mi cara. El pan de cada día jeje. :) Esto es lo normal. :) El día que te hagan caso deberías preocuparte jeje.

    Salu2,
     
    A ClusterIP le gusta esto.
  16. ClusterIP

    ClusterIP Usuario activo

    Hola @f.villalba ,

    Apliqué tu consejo por si entraba a través de eth0 en vez de por venet, y efectivamente se colaba, sin embargo, sigue realizando peticiones. Si bien es cierto que desde el primer momento se le prohibió el acceso mediante .htaccess, lo que me trae mosca es que sigue haciendo peticiones.

    Desde que apliqué tu consejo lo detiene, y el jail plesk-apache de Fail2ban lo configuré para 1 día de bloqueo. Lo que no me explico es como sigue realizando peticiones. No pasan al servidor, pero aumentan mucho el tamaño de access_log y error_log. Todas las entradas le deniegan el acceso, pero permite que se hagan.

    En fin, muchas gracias de nuevo.

    Envío captura de pantalla después de optimizar Apache y MySQL
     

    Adjuntos:

  17. Prueba con las waf rules de comodo: https://waf.comodo.com/
     
  18. raxp

    raxp Usuario activo



Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·