Interpretación de mensajes en VPS contratado

Wigao · 29 Dic 2010

Que tal amigos, recientemente he contratado un VPS VS3 en Knownhost y tengo la duda de ¿que significan estos mensajes?

Asunto:
lfd on serv1.tuttoqui.org: 15.219.153.76 (FR/France/ztxe01cs304.austin.hp.com) blocked with too many connections‏

Contenido:
Time: Wed Dec 29 20:18:42 2010 -0500
IP: 15.219.153.76 (FR/France/ztxe01cs304.austin.hp.com)
Connections: 65
Blocked: Temporary Block

Connections:
tcp: 15.219.153.76:58395 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:56346 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:49168 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:52739 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:57859 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:58431 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:52024 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:64567 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:63026 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:53294 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:57134 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:55341 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:55335 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:57126 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:50980 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:50014 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:53077 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:60244 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:64079 -> 204.197.240.60:80 (CLOSE_WAIT)
tcp: 15.219.153.76:56909 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:60237 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:59517 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:63357 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:63099 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:63096 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:53609 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:55136 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:52632 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:62872 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:51342 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:61833 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:61062 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:54205 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:63931 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:52411 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:51641 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:57017 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:60088 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:57266 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:59569 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:54954 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:61865 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:60584 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:50911 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:56542 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:65496 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:54999 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:54998 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:57042 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:50385 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:56524 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:64200 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:53703 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:64198 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:61381 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:55745 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:50880 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:64511 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:60925 -> 204.197.240.60:80 (FIN_WAIT2)
tcp: 15.219.153.76:51958 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:62445 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:50668 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:57579 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:61670 -> 204.197.240.60:80 (ESTABLISHED)
tcp: 15.219.153.76:56545 -> 204.197.240.60:80 (ESTABLISHED)

Me preocupan un poco porque no se si debo configurar algo en el servidor o a que se puedan deber. Me mandan unos 10 mensajes diarios mas o menos de este tipo.

blogers · 29 Dic 2010

parece que estas sufriendo un ataque spam debes de averiguar un poquito mas sobre esto

javo · 30 Dic 2010

lfd es parte de un set de herramientas de seguridad, es para prevenir ataques de fuerza bruta o DOS, cuando detecta algo raro, bloquea la ip, en este caso la
15.219.153.76.
Esa es tu ip? o no tenes idea de quien sea? los mensajes diarios que recibis siempre refieren al a misma ip?

Facundo · 30 Dic 2010

Correcto. Es simplemente el VPS avisanteto de que bloquea esa IP de francia por múltiples conexiones. Aunque el por que de esas conexiones, no tengo ni idea :S

Lo bueno es que ya se bloquea.

Saludos!

Wigao · 30 Dic 2010

Me lo imagine, fijense que los ataques vienen de diferentes partes (Venezuela, Colombia, Argentina) y por supuesto de diferentes ip's. Creo que a eso se debe la sobrecarga que tanto me mencionaban en Hostgator, aunque quién sabe y sean ellos mismos los que estén trabajando en esto.

userman · 31 Dic 2010

Yo veo que vienen todos de la misma ip, fijate si tienes algun script instalado o algo que pueda estar causando eso tambien...

pato12 · 6 Ene 2011

yo tengo el mismo problema, me llegan unos 20 emails así y también tengo Knownhost VS3. Antes me llegaban hasta 60 emails por día :|, vienen de todos lados, China, España, Venezuela, Taiwan, Mexico, Estados Unidos y lugares que no detecta y aparece "-/-/-".

Wigao · 6 Ene 2011

Creo que como dijeron antes son ataques DOS, lo bueno es que se bloquean automáticamente. Intuyo que esto tiene que ver con las suspensiones en Hostgator ¬¬

Uriel · 19 Jul 2011

Tengo el mismo problema, y lo curioso es que ando mudando los sitios, y llevo solo 3 😛

Wigao · 19 Jul 2011

Uriel dijo:
Tengo el mismo problema, y lo curioso es que ando mudando los sitios, y llevo solo 3 😛

Fijate compañero que los VPS de KH tienen un tipo de protección contra ataques DOS, y lo que hacen es banear ip's automáticamente. Hay que agradecer este servicio "extra" que hace que no se sobrecargue el servidor, y también hay que platicarles del tema los de Hostgator porque parece que les falta este tipo de soporte. Saludos.

skamasle · 21 Jul 2011

Wigao dijo:
Fijate compañero que los VPS de KH tienen un tipo de protección contra ataques DOS, y lo que hacen es banear ip's automáticamente. Hay que agradecer este servicio "extra" que hace que no se sobrecargue el servidor, y también hay que platicarles del tema los de Hostgator porque parece que les falta este tipo de soporte. Saludos.

Si tienes un VPS puedes instalarlo tu, es mas debes instalarlo tu si no lo tiene por defecto, no todos los VPS vienen configurados igual ni con las mismas herramientas.

Wigao · 22 Jul 2011

skamasle dijo:
Si tienes un VPS puedes instalarlo tu, es mas debes instalarlo tu si no lo tiene por defecto, no todos los VPS vienen configurados igual ni con las mismas herramientas.

El mio si venía así, nunca le toque nada.

Uriel · 2011-08-08T11:05:40-0500

Wigao dijo:
El mio si venía así, nunca le toque nada.

Si igual el mio tambien, lo que me preocupa es que no tenga muchas visitas y tengo de 10 a 20 mensajes de "alerta" al dia.

Torrecus · 2011-08-08T11:30:12-0500

Esos son ataques de fuerza bruta, tratan de entrar a tu cuenta con diferentes combinaciones de usuario/password. Para disminuir el riesgo puedes configurar tu CSF a una cantidad menor de intentos de ingreso tolerados, digamos 3 ó 5.

Yo tenía el mío configurado en 3, puesto que no necesitaba más si sabía mi usuario y password.

Geilin Vargas · 2011-08-08T11:59:06-0500

A mi me llegan unas visitas directas raras disque de mountain view california...pero no se como bloquearlas pues si son intentos de crackear la base de datos o simplemente spam no se por que no lo detecta el propio hosting por cierto uso tmdhost

John Stwar · 2011-08-08T12:04:34-0500

Tengo un dedicado en KH y me llegan unos 100-150 mensajes similares por día :S

Torrecus · 2011-08-08T12:18:12-0500

Todos esos son ataques de fuerza bruta, tratando de ingresar a su server. Utilizan un scanner para detectar puertos abiertos o recien cerrados (no recuerdo ahorita el nombre técnico), cada vez que te logueas/deslogueas de tu cuenta.

No puedes hacer nada contra ellos, salvo minimizar los riesgos:

- No utilizar tu FTP a menos que sea necesario y por períodos cortos de tiempo
- Utilizar nombre de usuario complejo o distinto de los habituales (admin, webmaster, user, root, etc.)
- Utilizar passwords complejos, combinando letra minúsculas, mayúsculas, números y símbolos especiales
- Configurar tu CFS a un límite máximo de 3 a 5 intentos de ingreso antes de bloquear la IP
- Tambien podrías reportar la IP con el proveedor del servicio, para que tome cartas en el asunto, pero además de engorroso, es un proceso que no dá resultados si las Ip's son de China ó Rusia

y obviamente, contratar con Host que sepan del negocio y no tomen la seguridad a la ligera.

Interpretación de mensajes en VPS contratado

Wigao

blogers

javo

Facundo

Wigao

userman

pato12

Wigao

Uriel

Wigao

skamasle

Wigao

Uriel

Torrecus

Geilin Vargas

John Stwar

Torrecus