1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

¿Qué significa este problema?

Tema en 'Asuntos Técnicos' iniciado por raxp, 27 Dic 2015.

  1. raxp

    raxp Usuario activo

    CODE, HTML o PHP Insertado:
    Dec 27 08:41:21 sv1 rsyslogd-2177: imuxsock begins to drop messages from pid 3085 due to rate-limiting
    (Varios avisos en todo el día)

    ¿Este problema sea la causa de que mi servidor proxy en glype muestre bad request 502 cada cierto tiempo?
    El problema desaparece temporalmente al refrescar php5 luego de un bad request 502.

    Estoy utilizando CSF como anti DDOS, por puerto y número de conexiones.
     
    raxp, 27 Dic 2015
    #1
  2. Anunciante

    Anunciante

     
  3. cincinnati

    cincinnati Usuario activo

    cincinnati, 27 Dic 2015
    #2
    raxp, nonamef191118, justice13 y otra persona les gusta esto.
  4. raxp

    raxp Usuario activo

    Gracias por su interés mi estimado cincinnati
    Definitivamente la causa de ese rate-limiting es porque me están atacando de lo lindo con una Botnet
    CODE, HTML o PHP Insertado:
    root@sv1:/var/log# cat messages
Dec 27 01:24:03 sv1 rsyslogd: [origin software="rsyslogd" swVersion="5.8.11" x-p                                                                                     id="1953" x-info="http://www.rsyslog.com"] rsyslogd was HUPed
Dec 27 01:25:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 01:25:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 01:30:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 01:30:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 01:35:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 01:35:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 01:40:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 01:40:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 01:45:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 01:45:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 01:50:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 01:50:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 01:55:02 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 01:55:02 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:00:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:00:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:05:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:05:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:10:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:10:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:15:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:15:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:20:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:20:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:25:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:25:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:30:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:30:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:35:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:35:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:40:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:40:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:45:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:45:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:50:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:50:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 02:55:02 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 02:55:02 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:00:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 03:00:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:05:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 03:05:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:10:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 03:10:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:15:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 03:15:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:20:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 03:20:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:25:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 03:25:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:30:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 03:30:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:35:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 03:35:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:40:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 03:40:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 03:45:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
....
X700 veces
....
Dec 27 22:30:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 22:30:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 22:35:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 22:35:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 22:40:02 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 22:40:02 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 22:45:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 22:45:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
Dec 27 22:50:01 sv1 pure-ftpd: (?@::1) [INFO] New connection from ::1
Dec 27 22:50:01 sv1 pure-ftpd: (?@::1) [INFO] Logout.
    Me llamó la atención una de todas las IP bloqueadas por el CSF esta 184.105.139.120
    El CSF solo aguantó 8 horas luego se cayó el server por ahora estoy utilizando cloudflare pero al utilizar proxy glype pueden buscar la IP en google y agarrar mi IP real y dosearme de lo lindo, ¿Alguien tendría alguna recomendación para este noobato en los servidores?.
    No estaría mal probar con un VPS de ginernet anti-DDOS lo estoy pensando.
     
    raxp, 28 Dic 2015
    #3
  5. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    No veo ningúna IP atacante en los logs, lo único que se ve es:

    CODE, HTML o PHP Insertado:
    New connection from ::1
    Esas son conexiones desde localhost en formato de IPv6. Es decir, la conexión FTP viene desde tu propia máquina.
    Y por la frecuencia que veo en tu log (cada 5 minutos), casi seguro es un cron que se está ejecutando el que genera cada conexión.

    Ya tienes más pistas para investigar :)

    Un saludo,
     
    WebTech, 29 Dic 2015
    #4
    A nonamef191118 le gusta esto.
  6. raxp

    raxp Usuario activo

    [​IMG]
    Esto es una pequeña captura del log
    :golpe:.
     
    raxp, 29 Dic 2015
    #5
  7. nonamef191118

    nonamef191118 Guest

    Joder me duele a la vista:
    [origin software="rsyslogd" swVersion="5.8.11"

    Algunos ya ni segurizar. Te recomiendo que si no sabes ni lo más mínimo dejes la seguridad en manos de profesionales. Ya es que ni leer logs en inglés, ni segurizar, ni nada de na. Hombre yo lo que veo son varias IP y varias MAC en el log que están siendo bloqueadas por el firewall.

    Aquí falta: Segurización, segurización + segurización by default.

    Salu2,
     
    nonamef191118, 29 Dic 2015
    #6
  8. nonamef191118

    nonamef191118 Guest

    nonamef191118, 29 Dic 2015
    #7
  9. raxp

    raxp Usuario activo

    Es un servidor proxy no utiliza mysql ni postfix, pero tengo estos servicios instalados he estado recibiendo alta carga en mysql y postfix de 0.8 a 9.1 según el top del cpu.
    Según cloudflare detecta muchas amenazas en pocas visitas son como 80 visitas con 2 millones de request cada 24 horas.
    Mi proveedor ya me ha baneado por 4 horas hace 1 semana por recibir DDOS sin ninguna protección, ahora que instalé CSF solo consumen el CPU hasta llegar a bad request.
    No utilizo IPv6 porque mi proveedor no da eso.

    El servidor es armado por el servidor perfecto debian7 wheezy nginx siguiendo los pasos estrictamente de los tutoriales de ispconfig3.
    https://www.howtoforge.com/perfect-server-debian-wheezy-nginx-bind-dovecot-ispconfig-3-p3

    El VPS tiene 2 GB de ram en donde el consumo llega a 900 MB.

    Tengo otros servidores montados con este mismo tutorial de ispconfig3 con más visitas y no tengo problemas.

    Para salir del bad request 502 tengo que estar refrescando el php5-fpm.
     
    raxp, 29 Dic 2015
    #8
  10. nonamef191118

    nonamef191118 Guest

    El bad request 502 depende de la configuración de cloudflare. Yo por eso nunca lo recomiendo. Hay que tirar de la caché del propio servidor siempre que se pueda. Busca en google info al respeto. Por lo demás te recomiendo desactivar el protocolo IPv6. Aunque no me parecen ataques puesto que el tamaño de los paquetes y la vida que tienen "TTL" es muy bajo.

    Haz un poco de seguridad por oscuridad y desactiva IPv6. Y modifica la configuración del cloudflare.

    https://www.google.es/search?q=bad reques 502 cloudflare&oq=bad reques 502 cloudflare&aqs=chrome..69i57.6399j0j7&sourceid=chrome&es_sm=119&ie=UTF-8

    http://wildlyinaccurate.com/solving-502-bad-gateway-with-nginx-php-fpm/
     
    nonamef191118, 30 Dic 2015
    #9
  11. raxp

    raxp Usuario activo

    El bad request 502 salta utilizando bind9 como DNS en el mismo servidor. En el caso de intercambiar el uso del bind9 por Cloudflare salta el Bad Request 522 (Timeout Cloudflare)
    Este servidor no tiene ni 2 semanas prendido pero ya ha recibido más de 4000 IPv4 de distintos lados mayormente de otros servidores que tienen el puerto 80 funcionando.

    Por ejemplo
    104.219.238.10
    80.82.64.177
    151.217.178.88
    216.218.206.91
    184.105.247.208
    184.105.139.124
     
    raxp, 30 Dic 2015
    #10
  12. raxp

    raxp Usuario activo

    (Atacantes detectados y bloqueados por el CSF)
     
    raxp, 30 Dic 2015
    #11


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·