Foros del Web » Administración de Sistemas » Apache »

[SOLUCIONADO] Proftpd DDOS

Estas en el tema de Proftpd DDOS en el foro de Apache en Foros del Web. Hola, Que tál? Necesito vuestra ayuda, quien puede ayudarme, Tengo plesk 12.5.30 con centos 6.5 y observando en la carpeta /var/log/messages veo intentos de acceso ...
  #1 (permalink)  
Antiguo 03/12/2015, 04:49
 
Fecha de Ingreso: septiembre-2013
Mensajes: 32
Antigüedad: 7 años, 4 meses
Puntos: 0
Pregunta Proftpd DDOS

Hola, Que tál?

Necesito vuestra ayuda, quien puede ayudarme, Tengo plesk 12.5.30 con centos 6.5 y observando en la carpeta /var/log/messages veo intentos de acceso al ftp.

Código PHP:
Dec  3 05:32:12 vps proftpd[4935]: processing configuration directory '/etc/proftpd.d'
Dec  3 05:32:12 vps proftpd[4935]: 192.168.12.1 (113.174.74.222[113.174.74.222]) - FTP session opened.
Dec  3 05:32:13 vps proftpd[4935]: 192.168.12.1 (113.174.74.222[113.174.74.222]) - FTP session closed.
Dec  3 05:32:13 vps xinetd[20647]: EXIT: ftp status=0 pid=4935 duration=1(sec)
Dec  3 05:32:55 vps xinetd[20647]: STARTftp pid=5039 from=::ffff:113.174.74.222 
Este es un pequeño listado hay más con diferentes ips.

Deduzco que puede ser un ataque DDOS, me consume casi toda la memoria, normalmente trabajo con el ftp como root como pudo proteger el acceso ftp. alguna idea por favor? gracias

Saludos cordiales
  #2 (permalink)  
Antiguo 03/12/2015, 05:14
Avatar de franciscomarin  
Fecha de Ingreso: junio-2009
Ubicación: Terrassa, BCN, CAT
Mensajes: 2.414
Antigüedad: 11 años, 6 meses
Puntos: 327
Respuesta: Proftpd DDOS

No es ningún ataque DDOS, es un ataque de fuerza bruta y es muy común (bastante) prácticamente no hay servidor que no lo reciba. Se pueden hacer varias cosas para minimizarlos y una de ellas es modificar el puerto del FTP (e incluso del SSH también) por otro, pero esto solo lo puedes hacer si tu eres el único que accedes por FTP, aunque esto no es del todo efectivo y tarde o temprano te localizarán el nuevo puerto y estarás en las mismas.

Pero no te preocupes, siempre que tengas contraseñas seguras no tendrás ningún problema.
  #3 (permalink)  
Antiguo 03/12/2015, 10:23
 
Fecha de Ingreso: septiembre-2013
Mensajes: 32
Antigüedad: 7 años, 4 meses
Puntos: 0
Pregunta Respuesta: Proftpd DDOS

Cita:
Iniciado por franciscomarin Ver Mensaje
No es ningún ataque DDOS, es un ataque de fuerza bruta y es muy común (bastante) prácticamente no hay servidor que no lo reciba. Se pueden hacer varias cosas para minimizarlos y una de ellas es modificar el puerto del FTP (e incluso del SSH también) por otro, pero esto solo lo puedes hacer si tu eres el único que accedes por FTP, aunque esto no es del todo efectivo y tarde o temprano te localizarán el nuevo puerto y estarás en las mismas.

Pero no te preocupes, siempre que tengas contraseñas seguras no tendrás ningún problema.
Ya he cambiado el puerto editando el fichero proftpd.conf linea
Código PHP:
# Port 21 is the standard FTP port.
Port    980 
cierto eso que comentas que enseguida dan con el puerto cambiado

Contraseñas segura hay :) Lo que me preocupa, es que me suba tanto la memoria por hacer el intento ataque fuerza bruta. ¿cual seria la solución? gracias

saludos
  #4 (permalink)  
Antiguo 03/12/2015, 10:56
Avatar de lauser
Moderator Unix/Linux
 
Fecha de Ingreso: julio-2013
Ubicación: Odessa (Ukrania)
Mensajes: 3.277
Antigüedad: 7 años, 5 meses
Puntos: 401
Respuesta: Proftpd DDOS

Dado que usas plesk, lo mas cómodo seria instalar la extensión fail2ban y bloquear/configurar el proftp.

__________________
Los usuarios que te responden, lo hacen altruistamente y sin ánimo de lucro con el único fin de ayudarte. Se paciente y agradecido.
-SOLOLINUX-
  #5 (permalink)  
Antiguo 04/12/2015, 04:21
 
Fecha de Ingreso: septiembre-2013
Mensajes: 32
Antigüedad: 7 años, 4 meses
Puntos: 0
Pregunta Respuesta: Proftpd DDOS

Cita:
Iniciado por lauser Ver Mensaje
Dado que usas plesk, lo mas cómodo seria instalar la extensión fail2ban y bloquear/configurar el proftp.

Buenas lauser,

Ya tenia activado el fail2ban con los 2 jails que comentas hace su función, pero siguen asaco con el intento de acceder por el ftp me consume recursos cpu por las nubes y memoria, alguna idea más? gracias
  #6 (permalink)  
Antiguo 04/12/2015, 06:07
Avatar de lauser
Moderator Unix/Linux
 
Fecha de Ingreso: julio-2013
Ubicación: Odessa (Ukrania)
Mensajes: 3.277
Antigüedad: 7 años, 5 meses
Puntos: 401
Respuesta: Proftpd DDOS

Has configurado correctamente el tiempo de baneo ip?
__________________
Los usuarios que te responden, lo hacen altruistamente y sin ánimo de lucro con el único fin de ayudarte. Se paciente y agradecido.
-SOLOLINUX-
  #7 (permalink)  
Antiguo 04/12/2015, 09:05
 
Fecha de Ingreso: septiembre-2013
Mensajes: 32
Antigüedad: 7 años, 4 meses
Puntos: 0
Exclamación Respuesta: Proftpd DDOS

Cita:
Iniciado por lauser Ver Mensaje
Has configurado correctamente el tiempo de baneo ip?
Lo tengo de esta manera

Código PHP:
[plesk-proftpd]
enabled true
filter 
proftpd
action 
iptables-multiport[name="plesk-proftpd"port="ftp,ftp-data,ftps,ftps-data"]
logpath = /var/log/secure
maxretry 

que tal lo ves??
  #8 (permalink)  
Antiguo 04/12/2015, 10:51
Avatar de lauser
Moderator Unix/Linux
 
Fecha de Ingreso: julio-2013
Ubicación: Odessa (Ukrania)
Mensajes: 3.277
Antigüedad: 7 años, 5 meses
Puntos: 401
Respuesta: Proftpd DDOS

Yo pondria el:
Código BASH:
Ver original
  1. maxretry = 3
Y el baneo a... en segundos.
Código BASH:
Ver original
  1. 600000
__________________
Los usuarios que te responden, lo hacen altruistamente y sin ánimo de lucro con el único fin de ayudarte. Se paciente y agradecido.
-SOLOLINUX-
  #9 (permalink)  
Antiguo 04/12/2015, 11:59
 
Fecha de Ingreso: septiembre-2013
Mensajes: 32
Antigüedad: 7 años, 4 meses
Puntos: 0
Respuesta: Proftpd DDOS

Ya lo he cambiado a ver ahora si dejan de tocar los cojones y va mas ligero el vps

gracias
  #10 (permalink)  
Antiguo 04/12/2015, 12:29
Avatar de lauser
Moderator Unix/Linux
 
Fecha de Ingreso: julio-2013
Ubicación: Odessa (Ukrania)
Mensajes: 3.277
Antigüedad: 7 años, 5 meses
Puntos: 401
Respuesta: Proftpd DDOS

De echo el
Código BASH:
Ver original
  1. maxretry = 3
inclusive lo podrías colocar en 2.
__________________
Los usuarios que te responden, lo hacen altruistamente y sin ánimo de lucro con el único fin de ayudarte. Se paciente y agradecido.
-SOLOLINUX-
  #11 (permalink)  
Antiguo 07/12/2015, 10:49
 
Fecha de Ingreso: septiembre-2013
Mensajes: 32
Antigüedad: 7 años, 4 meses
Puntos: 0
Respuesta: Proftpd DDOS

Ya lo cambie ;) gracias lauser

Etiquetas: ataques, ddos, proftpd
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:35.