Ataques al host: Experiencias y medidas de seguridad

  • Autor Autor tensaiweb
  • Fecha de inicio Fecha de inicio
tensaiweb

tensaiweb

Gamma
Redactor
Verificación en dos pasos activada
Verificado por Whatsapp
Me pregunto si alguno de ustedes les ha pasado antes o recientemente.

Al mail me están llegando los reportes de bloqueos de ips por "too many conections", las ips son de diferentes países de latinoamerica, incluyendo españa, usa y otros de fuera.

Recientemente también han intentado hacer login:

Insertar CODE, HTML o PHP: 
Time:     Tue Jun 15 12:38:17 2010 -0400
IP:       190.17.184.247 (AR/Argentina/247-184-17-190.fibertel.com.ar)
Failures: 10 (pop3d)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

Jun 15 12:37:40 host pop3d: LOGIN FAILED, user=root, ip=[::ffff:190.17.184.247]

Afortunadamente parece que knownhost tiene un sistema de seguridad que me está defendiendo.
A alguno de ustedes les ha pasado?
No se si deba hacer algo, los de soporte me explicaron que son ataques y no me han indicado que haga nada más. Supongo que ellos se encargan pero me gustaría conocer si alguien le ha pasado y que ha hecho.
Gracias.
 
que casualidad yo tambien estoy en knownhost y hace unos 2 o 3 dias que me estan llegando muchos mails del vps sobre ips bloqueadas y otras cosas mas.
 
parecen ser ataques masivos via proxy a un determinado grupo de Ips, hay forma de hacerlo mediante la red TOR aisgnando una ip dinamica al proxy para cada nuevo ataque, siempre diferente de la anterior, pero nunca habia visto este tipo de uso.
 
palalo dijo:
que casualidad yo tambien estoy en knownhost y hace unos 2 o 3 dias que me estan llegando muchos mails del vps sobre ips bloqueadas y otras cosas mas.
Hacer clic para expandir...

Entonces a ti también te están atacando!. Te contactaste también con soporte?
Es preocupante, sobre todo porque que me pasé hace poco a este vps y si me atacaban en el compartido? O quizás lo hacían y por ese se sobrecargaba el cpu...
 
les dije que estaba teniendo mucha recarga en el servidor (viste que te manda el e-mail cuando pasa) y me dijeron que un blog mio esta cosumiendo mucho que lo optimize... osea estoy en el vps hace mucho y las visitas estan igual y justo ahora tengo que optimizarlo.
 
palalo dijo:
les dije que estaba teniendo mucha recarga en el servidor (viste que te manda el e-mail cuando pasa) y me dijeron que un blog mio esta cosumiendo mucho que lo optimize... osea estoy en el vps hace mucho y las visitas estan igual y justo ahora tengo que optimizarlo.
Hacer clic para expandir...

Al recibir esos ataques te cargan el cpu, asi que supongo que no es tu blog. Cuentales de esos bloqueos de ip.
 
si lo se por eso dije "osea estoy en el vps hace mucho y las visitas estan igual y justo ahora tengo que optimizarlo"

les dije eso de las ips bloqueadas que hace varios dias estoy recibiendo los e-mails y me contestaron recien que estan trabajando en el problema.

EDIT

me mandaron: We could not find any issue with the server and we could not see any logins from any suspicious IP address. If you further receive such mails, please get back to us with one of such mails, so that we can investigate further.
 
prueben instalandose un server firewall para ayudarles a mitigar estos ataques que de seguro seran dos y no ddos .. saludos
 
palalo dijo:
si lo se por eso dije "osea estoy en el vps hace mucho y las visitas estan igual y justo ahora tengo que optimizarlo"

les dije eso de las ips bloqueadas que hace varios dias estoy recibiendo los e-mails y me contestaron recien que estan trabajando en el problema.

EDIT

me mandaron: We could not find any issue with the server and we could not see any logins from any suspicious IP address. If you further receive such mails, please get back to us with one of such mails, so that we can investigate further.
Hacer clic para expandir...

Reenviales o copiales los emails de las ips bloquedas y del los login failed.

jkmade dijo:
prueben instalandose un server firewall para ayudarles a mitigar estos ataques que de seguro seran dos y no ddos .. saludos
Hacer clic para expandir...

knownhost tiene una suite que tiene firewall, esa es la que me manda los emails diciendo que ha bloqueado ips, me lo dijeron ellos mismos.
 
A ver, eso no es un ataque. El sistema de seguridad está en cPanel. Ese mensaje lo único que indica es que alguien ha intentado acceder a una cuenta POP3 y ha fallado 10 veces en los datos de acceso. Implementando firewalls como CSF también se dispone de esas reglas.
Contacta al soporte de Knownhost para que te asesoren más respecto al tema.
 
jmtwl dijo:
A ver, eso no es un ataque. El sistema de seguridad está en cPanel. Ese mensaje lo único que indica es que alguien ha intentado acceder a una cuenta POP3 y ha fallado 10 veces en los datos de acceso. Implementando firewalls como CSF también se dispone de esas reglas.
Contacta al soporte de Knownhost para que te asesoren más respecto al tema.
Hacer clic para expandir...
Y quién va a intentar acceder si yo soy el único usuario.
También estoy recibiendo de estos:

Insertar CODE, HTML o PHP: 
Time:        Tue Jun 15 15:22:45 2010 -0400
IP:          201.134.164.242 (MX/Mexico/customer-201-134-164-242.uninet-ide.com.mx)
Connections: 39
Blocked:     Temporary Block
De varios países más y ya van varios días.

Algunos con Permanet Block.

Claro, que consulté con soporte hace días, ellos mismos me han dicho lo siguiente:

The mails which you have received is from the firewall which has successfully blocked the suspicious IP addresses which were trying to access the server.

Ya último me han asegurado que no tengo de que preocuparme que su seguridad es fuerte, de todos modos preocupa que sigan intentándolo. Qué les he hecho?
 
Los servidores públicos están sometidos a cientos de ataques de acceso diarios. Lo importante es tener seguridad que pueda prevenir su acceso al sistema.
 
no debes preocuparte si el soporte admite que estas resiviendo un ataque eso es bueno.. ya que algunos proveedores se niegan aceptar, y te suspenden tu cuenta por abuso de cpu, ademas no te preocupes es un ataque dos y no ddos con ddos es imposible detener solo mitigar.. saludos
 
jkmade dijo:
no debes preocuparte si el soporte admite que estas resiviendo un ataque eso es bueno.. ya que algunos proveedores se niegan aceptar, y te suspenden tu cuenta por abuso de cpu, ademas no te preocupes es un ataque dos y no ddos con ddos es imposible detener solo mitigar.. saludos
Hacer clic para expandir...

Knowhost debe tener uno de los mejores servicios de atención al cliente, a mi me solucionan casi todo.
 
Si tienes WHM activa el cPHulk Brute Force Protection y configuralo de manera que al primer intento fallido sean bloqueados al menos durante una hora y agrega tu ip a la lista blanca.
 
Última edición:
Pero a ver, ¿tienes instalado CSF/LFD?
 
xD
Se nota que no teneis experiencia, todos los dedicados reciben intentos de entrada por fuerza bruta por un tubo ^^
 
Hay que estar conectado o registrado para responder aquí.
Atrás
Arriba