Que va, no he probado el mod_security porque no es una web lo que estoy protegiendo en el dedicado, miraré el zmbscap.

Tenemos 3 dedicados y únicamente 1 de ellos aloja una web, y si, ese dedicado está protegido por CloudFlare, el dedicado del que he hablado en el tema aloja otro tipo de servicios de juegos en línea, pero nada de web por lo que CloudFlare no da protección a eso.

Buenas!

Pocas veces he publicado en el foro y eso que llevo registrado desde hace años, lo que quería comentaros es un problema que sufro en mi servidor dedicado desde el día 12 de julio, nos hemos visto envueltos en un ataque DDoS que no tiene fin, el ataque ha empezado el día 12 de julio.

He intentado poner medios para parar el ataque, tanto seguir la guía de documentación para parar DDoS de el-brujo, instalando APF, configurando reglas restrictivas en IPTables y nada... no hay fin para el ataque. Definitivamente se trata de un bot zombie, el problema es que aunque haya limitado la lista de entrada se ha saturado sin distinguir cual es el tráfico legítimo del que no lo es.

He estado revisando el syslog y siempre que sufrimos un ataque dejan los mismos patrones:


Hemos cerrado el puerto 53 ya que no necesitamos para nada solicitudes de DNS, el problema es que no hay quién pare el ataque, nos saturan el ancho de banda del servidor dedicado que actualmente tenemos contratado en 1GB.

Dejo un gráfico para que veáis como suelen ser los ataques:


Cuando puedo acceder al SSH (muchas veces en medio del ataque es imposible entrar por terminal) soy capaz de bloquear las IPs que veo en el syslog y el ataque se detiene durante unos minutos, he pensado en bloquear con algún script este ataque mediante los patrones que sigue, tipo que el ulen es siempre 4006, algún patrón de IPs, que el puerto siempre es 53 y algún puerto aleatorio... pero la verdad es que no se como hacerlo.

El dedicado tiene instalado Debian, sería de gran ayuda cualquier comentario porque la verdad es que estoy cansado de estos ataques y hemos perdido muchas personas de la comunidad que aloja el dedicado por la interrupción del servicio.

El Google Chrome tiene serios problemas para aceptar la contraseña, en cambio Internet Explorer la pasa de maravilla.

El problema es que actualmente los periodistas se creen cualquier cosa sin verificarla, tan sólo por sacar la noticia los primeros. Luego vienen los mal entendidos, rectificaciones y problemas derivados de esa noticia.

Totalmente de acuerdo con eso. No se hasta donde piensan llegar...

No se muy bien como funcionará Goddady ahora, pero si no recuerdo mal tenías que configurar las DNS.

Además, tienen una sección de FAQ. (http://help.godaddy.com/)

¿Hay alguna manera de impedir que un usuario acceda a un servidor ubuntu sabiendo sólo su IP?.

Había pensado en un traceroute, pero no se si alguna de esas IPs nodales puede ser estática...

PD: Perdón por doble post.
Gracias por la atención.

Lo siento, a ver, el problema es que si lo hago con iptables... no tiene casi validez, lo digo por la Ip pública.

Hola!.

Bueno, desde hace poco tiempo que tengo manejo en esto de Ubuntu, y un buen amigo me recomendó restringir acceso a mi servidor utilizando algún tipo de IP estática de la red...

Me gustaría saber si hay alguna IP fija en la red de una casa/piso/calle y a la que se pueda acceder mediante una IP pública.

He estado mirando el traceroute, pero no se cual de todas las IP podría usar...

Esto lo hago porque quiero impedir que algunos usuarios puedan tener acceso al servidor, apache y demás...

¡Saludos y gracias!.