Buenos días,

Tengo un server web en la oficina bajo SUSE11 (creo), me comunican que está realizando ataques DDoS a una página de argentina... que revise los logs y tal...

Soy muy novato con esto de linux, es simplemente un servidor con SUSE y un "xampp"/"lammp" para tener una web activa de esas de joomla.

Alguien me puede decir buenamente cómo mirar si estoy haciendo esos ataques? qué logs y cómo mirarlos?

Mil gracias y saludos

Intenta encontrar por donde han vulnerado tu servidor. El primer sitio donde mirar son los logs. Busca IP's extrañas o requests raros.

Analiza que método de DDoS han/estan utilizando. Si han conseguido acceso como usuario a tu maquina y tienen permisos para ejecutar aplicaciones podrían tener algún backdoor. Si solo han vulnerado algún servicio que permite realizar el ataque sin ser consciente (tipo DNS Amplification). O si han vulnerado tu pagina web y tienen algún script para atacar que se ejecuta por tus visitantes.

Elimina el problema. La forma mas rápida es hacer un backup solo con las cosas importantes y reinstalar lo demás. Puedes instalar herramientas anti-rootkit y analizar, actualiza todos los paquetes a sus ultimas versiones y busca shells escondidas.

Sin duda, el primer paso es analizar los logs.

Saludos

Si estas atacando la pagina atraves de http o https, por ahora simplemente puedes bloquear el acceso de salida por el puerto 80 o 443 (a menos que tengas scripts o programas que usen estos puertos):

sudo iptables -A OUTPUT -m multiport -p tcp --dport 80,443 -j DROP

Te da tiempo que puedas revisar los logs de tus servicios para ver como te atacaron y luego puedes quitar la regla si quieres. Usualmente los servidores dejan abiertos esos puertos para updates del sistema aunque tambien los puedes hacer por ftp.

Podrias tambien hecharle un vistazo a las conexiones salientes por esos puertos (y los procesos que inician esas conexiones)