Sitio suspendido. Ayuda!!

imported_Rosario · 8 May 2008

Tengo un sitio con vbulletin 3.7 y el dia de ayer la gente del hosting lo suspendió alegando lo siguiente:

Su sitio presenta múltiples consultas abiertas a tablas. Por favor verifique su código y repare su inconveniente.

No entiendo cual es el problema ni como solucionarlo

Si alguien por favor me guia estaria muy agradecida!

pappocapo · 8 May 2008

Lo primero que tenes que hacer es llamar a tu host y que expliquen bien el tema, luego con datos mas concretos por ahi vbhispano puede ayudarte siempre y cuando sea algo que esta mal, a mi me suena a que te pasaste de ancho de banda (pero solo conjeturo)

serra00 · 8 May 2008

si es pago no te preocupes por que te guardan todo.. solo comunicate con ellos y que te especifiquen cual de las normas violaste

IsraelSKA · 9 May 2008

2 preguntas..

- Tu vbulletin es legal?
- Tienes algún chat?

Saludos

imported_Rosario · 9 May 2008

Respuesta: Sitio suspendido. Ayuda!!

- Si.
- No

Hoy lo habilitaron nuevamente y lo pasé a un plan mas amplio, revisé toda la configuración y no encuentro nada anormal. Segun el host no excedí el ancho de banda de transferencia sino que fueron numerosas consultas simultaneas a la base de datos.
Que puedo hacer para que no la vuelvan a suspender??

IsraelSKA · 9 May 2008

siendo mal pensado se me ocurre que te quieren meter el dedo en la boca..

a ver, es muy poca info la que te dan, las razones por la que suspendan un sitio (lo que más se acerque en este caso) es por consumo excesivo de recursos..
Eso es cuando tienes un script que cargue cada X segundos, un chat por ejemplo, envio masivo de correos (spam).. etc..

muchas consultas es como estar haciendo búsquedas (como usuario común) o que dentro de tu foro se esté ejecutando alguna consulta sql (valga la redundancia)..
Eso tambien puede ser que en algún momento tu foro está haciendo algo automáticamente (tareas) lo que está provocando problemas..

entonces, que se puede hacer?
pedir más info a tu hosting.. a qué hora son estas consultas y revisar tareas automáticas.. ya que de cierta forma tambien pueden ser ataques DOS y ahi tu no tienes nada que ver...

Suerte..

Saludos

imported_Rosario · 9 May 2008

Respuesta: Sitio suspendido. Ayuda!!

Aqui te muestro los logs que me enviaron. Revisé las tablas y no tienen errores :S Tengo sospechas de que pueda er un ataque porque no es la primera vez que intentan perjudicarme

Si fuera un ataque DOS que puedo hacer?? Ahora el sitio funciona nuevamente pero sigue por momentos tirando error de tiempo de ejecución ...

imported_solo · 9 May 2008

Respuesta: Sitio suspendido. Ayuda!!

En opciones de vbulletin suspender el foro,ponerlo en mantenimiento,mira a ver si todas las peticiones van al index y eso te confirmara si es un ddos

pappocapo · 9 May 2008

Si es un ataque DOS banea la ip o el rango de ip, si es un ataque DDOS empeza a rezar ya que todo el servidor y toda la empresa de host estara comprometida...

Si es de gran escala obvio.

imported_Rosario · 9 May 2008

Respuesta: Sitio suspendido. Ayuda!!

solo dijo:
En opciones de vbulletin suspender el foro,ponerlo en mantenimiento,mira a ver si todas las peticiones van al index y eso te confirmara si es un ddos

Sé como suspender el foro, pero donde veo las peticiones???

imported_solo · 10 May 2008

Respuesta: Sitio suspendido. Ayuda!!

En el index,ves los user y visitantes lo que estan haciendo,si es un ddos casi todos estaran viendo el index solamente.

pappocapo es obvio que que no estas familiarizado con este tipo de ataque,te dire que consiste a grandes rasgos en la utilizacion de maquinas exclavos por lo tanto no puedes bannear ni IPs ni rangos,seria utilizar una sombrilla por la noche,inutil total ya que todas utilizaran un rango y una IP diferente.

Ademas si el host es compartido te lo pueden tirar de 2 formas,

1ª con la peticion masiba hasta que te pasas en uso de cpu y tu servidor te suspende
2ª con peticiones constantes hasta que acabas tu transferencia mensual

Saludos

Pd ; todo esto claro suponiendo que hablemos de un compartido,en un dedicado o VPS es mucho mas factible detenerlo.

imported_Rosario · 10 May 2008

Respuesta: Sitio suspendido. Ayuda!!

solo dijo:
En el index,ves los user y visitantes lo que estan haciendo,si es un ddos casi todos estaran viendo el index solamente.

pappocapo es obvio que que no estas familiarizado con este tipo de ataque,te dire que consiste a grandes rasgos en la utilizacion de maquinas exclavos por lo tanto no puedes bannear ni IPs ni rangos,seria utilizar una sombrilla por la noche,inutil total ya que todas utilizaran un rango y una IP diferente.

Ademas si el host es compartido te lo pueden tirar de 2 formas,

1ª con la peticion masiba hasta que te pasas en uso de cpu y tu servidor te suspende
2ª con peticiones constantes hasta que acabas tu transferencia mensual

Saludos

Pd ; todo esto claro suponiendo que hablemos de un compartido,en un dedicado o VPS es mucho mas factible detenerlo.

Bueno, efectivamente revisé como me indicaste y tengo continuamente visitantes de diferentes ips en el index.
Que puedo hacer? Ahora tengo un reseller exclusivo para esa web :S
Debe hacerse cargo el host de protegerme contra este ataque? o no tengo ninguna solución?? No se como seguir

robert66 · 10 May 2008

Es complicado y deberia ser tu host ya que tu no tienes acceso al apache o si lo tienes o puedes pedirle a tu host que te digan su configuracion donde tienes tus web puedes instalar y configurar el mod_evasive

te dejo una pequeña explicacion de como

apt-get install libapache2-mod-evasive
echo “LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so” > /etc/apache2/mods-avaiable/evasive.load
Configurando mod_evasive.:
Creamos el fichero de configuración de mod_evasive, este será /etc/apache2/mods-available/evasive.conf y metemos lo siguiente.
<IfModule mod_evasive.c>
DOSHashTableSize 3097 # <– Número de IPs que almacena
DOSPageCount 2 # <– Número de páginas solicitadas a partir de las cuales el módulo se activa
DOSSiteCount 50 # <– Número de solicitudes máximas a partir de las cuales el filtro se activa
DOSPageInterval 1 # <– Intervalo en segundos, de tiempo entre las peticiones de páginas
DOSSiteInterval 1 # <– Intervalo en segundos, de tiempo entre las peticiones
DOSBlockingPeriod 900 # <– Tiempo en segundos que bloqueará el acceso a web al atacante.
DOSWhitelist 127.0.0.1 # <– IPs a las que permitiremos que haga tantas peticiones
DOSWhitelist 192.168.1.*
DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
</IfModule>
Con DOSWhitelist, vamos a introducir una política de permisividad a ciertas IPs. Permitiremos que el localhost, nuestra red, y por ejemplo, las IPs que google utiliza para que su araña revise los sites, haga esas peticiones.
Si tenemos compilado nuestro kernel con soporte para iptables, existe una opción, que a mi me encanta.
DOSSystemCommand “/sbin/iptables -A INPUT -s %s -j DROP”
Con este comando, lo que hacemos es dropar todas las conexiones de la IP atacante a nuestra máquina, ya no nos molestará más.
Reiniciamos el Apache2 y ya lo tenemos funcionando
/etc/init.d/apache2 restart
Para probar si funciona, con el paquete que instalamos del mod_evasive, nos viene un pequeño script en perl que testea el módulo. Para ejecutarlo hacemos lo siguiente.
perl /usr/share/doc/libapache2-mod-evasive/examples/test.pl
Lo que hace ese script, es hacer 100 peticiones a nuestro servidor web, si todo funciona correctamente, al principio, dará un codigo OK o Found y despues, entre 20 y 30 peticiones, empezará a devolver un código de error.

pd.soy solo pero en esta pc no tengo el pass y no me lo envia.

Saludos

imported_Rosario · 10 May 2008

Respuesta: Sitio suspendido. Ayuda!!

Hasta ahora el host sigue sin responderme

Les pedí que me enviaran los logs de las ips que se conectan al servidor para chequear las consultas, pero no em dicen nada. La web funciona bien por momentos y luego vuelve a quedar cargando. Espero a ver que me responde el host y te aviso solo.
Muchisimas gracias por tomarte el tiempo para guiarme

imported_illi.pro · 11 May 2008

Respuesta: Re: Sitio suspendido. Ayuda!!

robert66 dijo:
Es complicado y deberia ser tu host ya que tu no tienes acceso al apache o si lo tienes o puedes pedirle a tu host que te digan su configuracion donde tienes tus web puedes instalar y configurar el mod_evasive

te dejo una pequeña explicacion de como

apt-get install libapache2-mod-evasive
echo “LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so” > /etc/apache2/mods-avaiable/evasive.load
Configurando mod_evasive.:
Creamos el fichero de configuración de mod_evasive, este será /etc/apache2/mods-available/evasive.conf y metemos lo siguiente.
<IfModule mod_evasive.c>
DOSHashTableSize 3097 # <– Número de IPs que almacena
DOSPageCount 2 # <– Número de páginas solicitadas a partir de las cuales el módulo se activa
DOSSiteCount 50 # <– Número de solicitudes máximas a partir de las cuales el filtro se activa
DOSPageInterval 1 # <– Intervalo en segundos, de tiempo entre las peticiones de páginas
DOSSiteInterval 1 # <– Intervalo en segundos, de tiempo entre las peticiones
DOSBlockingPeriod 900 # <– Tiempo en segundos que bloqueará el acceso a web al atacante.
DOSWhitelist 127.0.0.1 # <– IPs a las que permitiremos que haga tantas peticiones
DOSWhitelist 192.168.1.*
DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
</IfModule>
Con DOSWhitelist, vamos a introducir una política de permisividad a ciertas IPs. Permitiremos que el localhost, nuestra red, y por ejemplo, las IPs que google utiliza para que su araña revise los sites, haga esas peticiones.
Si tenemos compilado nuestro kernel con soporte para iptables, existe una opción, que a mi me encanta.
DOSSystemCommand “/sbin/iptables -A INPUT -s %s -j DROP”
Con este comando, lo que hacemos es dropar todas las conexiones de la IP atacante a nuestra máquina, ya no nos molestará más.
Reiniciamos el Apache2 y ya lo tenemos funcionando
/etc/init.d/apache2 restart
Para probar si funciona, con el paquete que instalamos del mod_evasive, nos viene un pequeño script en perl que testea el módulo. Para ejecutarlo hacemos lo siguiente.
perl /usr/share/doc/libapache2-mod-evasive/examples/test.pl
Lo que hace ese script, es hacer 100 peticiones a nuestro servidor web, si todo funciona correctamente, al principio, dará un codigo OK o Found y despues, entre 20 y 30 peticiones, empezará a devolver un código de error.

pd.soy solo pero en esta pc no tengo el pass y no me lo envia.

Saludos

Entendi un 10%... T_T

imported_Rosario · 12 May 2008

Respuesta: Sitio suspendido. Ayuda!!

Buenas y malas noticias.
La buena es que el host me respondió que no estoy sufriendo un ataque DOS
Cito: "el motivo por el cual su sitio no se encontraba
disponible se debe a un pico de carga en el servidor, el cual nos ha
obligado a detener temporalmente, sin previo aviso, algunos servicios para poder
evitar la caída del sistema y así detectar el motivo de dicha sobrecarga,
en la gran mayoría de estos casos se debe a un usuario haciendo mal uso
de los servicios. Ya hemos tomado las medidas necesarias para
estabilizar su servicio."

La mala es que sigo teniendo inconvenientes en mi sitio por lo que estoy tratando de ver si el error no se encuentra en mi VBulletin.

El problema es que de a ratos la web funciona bien y de golpe tarda muchisimo en recargar y tira el error:

Fatal error: Maximum execution time of 30 seconds exceeded in I:\FerozoWebHosting\muarte.com.ar\public_html\includes\class_core.php on line 371

A continuación les copio las lineas de ese código a ver si pueden ayudarme:

if ($queryresult = $this->functions[$buffered ? 'query' : 'query_unbuffered']($this->sql, $link))

Gracias!!!

robert66 · 12 May 2008

Yo que tu me cambiaria de host,el codigo esta bien y el tema de que te suspendan por otro usuario que a lo mejor estaba mandando correos masivos no es buen sintoma,es a ese al usuario al que tienen que suspender.

saludos

serra00 · 12 May 2008

es un host gratuito?

pappocapo · 12 May 2008

Re: Respuesta: Sitio suspendido. Ayuda!!

solo dijo:
pappocapo es obvio que que no estas familiarizado con este tipo de ataque,te dire que consiste a grandes rasgos en la utilizacion de maquinas exclavos por lo tanto no puedes bannear ni IPs ni rangos,seria utilizar una sombrilla por la noche,inutil total ya que todas utilizaran un rango y una IP diferente.

Me parece que no interpretaste lo que quise decir con correccion, por eso hice la salvedad si era un ataque DOS o DDOS, o sea un ataque de denegacion de servicio simple o un ataque de denegacion de servicio distribuido (multiple). Si te interesa te aporto material sobre la diferencia de cada uno

robert66 · 13 May 2008

Tu crees que todavia se utilizan ataques simples? yo si te puedo decir donde informarte bien y ponerte al dia.

Saludos

Sitio suspendido. Ayuda!!

imported_Rosario

imported_Rosario

imported_Rosario

imported_solo

imported_Rosario

imported_solo

imported_Rosario

imported_Rosario

imported_illi.pro

imported_Rosario