Ataque a GPLURV

Durante las últimas 2 semanas se ha caído GPLURV unas 2 veces, la caída normalmente ha durado unos 2 días. Bien, este hecho no deja de ser puntual, puede ser debido a un corte de luz/red (alguien con tijeras :D), un mal día o lo típico… culpa del Hardware (máquina vieja…).

Los síntomas eran un poco raros, el server estaba totalmente muerto… pero vivo. Desde el “secondary” (en GPLURV tenemos el server “primary” y “secondary”, httpd y ftp/cvs/others respectivamente) cuando le enviabas pings respondía perfectamente pero la conexión por ssh era imposible… almenos en la segunda caída porque en la primera tuve que estar una media hora para poder entrar y hacer “reboot”, pero lo conseguí… sin duda eso denotaba que no sé porque causa el server estaba “exhausto” por así decirlo. Pero… ¿porque?

No fué hasta el martes por la tarde que dimos con el asunto. Aprovechamos para ir a cambiar el disco duro nuevo de 8gb un poco más rápido (a ver si lo notáis xD) por el anterior para mirar “bien de cerca” los logs… encontramos “segmentations faults” del apache… por lo que nos pusimos a examinar servicio por servicio qué era lo que “había petado”…

Tenemos el weps, wiki, drupal, webalizer, bugzilla, cvsweb… pues bien… empezamos a ver las cosas más claras cuando examinamos el servicio de estadísticas, webalizer¿¿es posible que recibamos 9.000 visitas en pocos dias?? xDD “sí” diría un de slashdot… “no” diría uno de GPLURV… y menos aún cuando todas esas visitas (o hits mejor dicho) eran de 4 ips iguales …. y de sitios… ejem… para mayores de edad :). Al parecer les interesaba salir en las estadisticas de GPLURV para subir puestos en google… y se ve que es esto un práctica habitual, al más puro estilo spam.

Bien, espero que esto aclare las dudas de porque GPLURV se ha caído un par de veces… y es que este ataque de hits ha sido peor que un “barrapuntazo” (que lo aguatamos en su día) o un “slashdotted”… ¿ha sido un porntazo?

PD: Hemos baneado esas ips y para que no haya ningún tipo de “tentación”, se ha deslinkado el servicio de estadisticas para que google no pueda entrar 🙂
Autor: jBilbo

This entry was posted in GPL Tarragona. Bookmark the permalink.

6 Responses to Ataque a GPLURV

  1. sergi says:

    “se ha deslinkado el servicio de estadísticas para que google no pueda entrar”…..mmmm… casi mejor se usa el fichero robots.txt que sirve para algo, no? En fin, la gracia no creo en que esté en eso igualmente, sino en que ya tienen la dirección. Se puede cambiar la dirección de acceso al webalizer o simplemente restringir su acceso por ficheros del estilo .htaccess para que nadie pueda entrar a verlo sin passwd, y es que las estadísticas, a parte de los admins, a quien le pueden interesar?


    bow before me, for I’m root
    si el programari lliure no és la resposta, la pregunta és errònia

  2. jBilbo says:

    No es más fácil cambiarle el nombre y deslinkarlo?
    Da igual si alguien entra en las estadístcias… simplemente es por evitar lo ocurrido… ni .htaccess ni robots.txt para que sigan las normas los buscadores ni na… no es necesario complicarse la vida.

  3. NeiL says:

    Y digo yo, los firewall no sirven pa estas cosas? O sea, que cuando se reciben muchas peticiones desde la misma ip, vayan al puerto que vayan, ¿el firewall no las bloquea? En la pagina de cierta persona que conoci hace tiempo le pasaba lo mismo y era por el firewall que estaba mal configurado y no bloqueaba los ataques por saturacion .

    Como batallita de este conocido os contare que montó un servicio de alojamiento de pago con un p3 1000 y un win NT. Despues de mucho machacarle se consiguio que se pusiera una rh pero la configuró tan mal que “se caia” cada 2×3, le dijimos que tenia mal configurado el php y no lo corregia, llego el dia en que le sacaron todos los pass que tenia el tio en las bd de mysql gracias a un fallo de php. XDDDD
    Ahora el server es una pagina en blanco mostrada directamente por el router 3com que tiene. (el router tb se lo reiniciaban aprovechando que no actualizaba el firmware).Vamos una maravilla de tio.xDDD

    NeiL
    O:)

  4. mengor says:

    Quina va ser la quantitat de visites del barrapuntazo? Jo esque era una d’elles 😉


    Edgar Salgado (mengor)
    GnuPG: 1EFA19EE

  5. sergi says:

    Lo de banear las ipes origen del desagravio se hizo desde el primer momento (de hecho en una de ellas se baneó directamente una red entera porque tenía pinta de ser de una empresa dedicada a prácticas poco éticas de spam y estas cosas), pero con banear un puñado de ipes no es bastante, la gracia está en corregir el problema para que no vuelva a darse.


    bow before me, for I’m root
    si el programari lliure no és la resposta, la pregunta és errònia

  6. jBilbo says:

    No m’enrecordo exactament, esta registrat i ja ho miraré… pero vam passar d’unes 20 visites/dia a 300 i algo de pic en un dia concret… 🙂

    PD: Actualment rebem unes 400 visites diaries sostingudes (sense contar spammers of course xDD) i arribem a pics de 600 o més segons que dies.

Leave a Reply