Parar el golpe de un ataque DDOS
Hoy mismo, hemos sufrido un ataque DDOS en uno de nuestros servidores donde tenemos alojado una tienda. Hemos podido aguantar y finalmente bloquearlo, pero la web ha ido lenta durante un tiempo.
El ataque
Habéis visto la imágen? Alguien desde unas Ip’s muy concretas, está intentando entrar al panel de administración de la tienda. Prueba con:
/ksp_admin
/qlz_admin
/sew-admin
…
Y así está probando unas combinaciones para ver si puede averiguar el link de acceso.
Los logs del servidor
Que grandes amigos son los logs de nuestros servidores… qué haríamos sin ellos? Lo primero que debemos hacer es ir a ver los logs. Ellos nos diran las ip’s que nos atacan y qué buscan.
En plesk, nos vamos al dominio en cuestión y una de las opciones son «Logs». Podemos acceder y ver el listado que hay en la captura.
Hay que tener en cuenta que los logs, normalmente van con retraso. Verás lo que ha sucedido 1 hora antes, más o menos…
Paremos el golpe inicial del ataque DDOS
Vale, una vez vemos el log, localicemos las ip’s que nos atacan. En nuestro caso:
- 45.227.253.X
- 78.128.113.X
Todas las Ip’s son de este rango. Lo que varía es el 4o cuarteto.
Una vez sabemos las ip’s que nos bloquean. paremos el primer golpe:
Editamos el fichero .htaccess que hay en la raiz de nuestra web, añadiendo el siguiente código:
// Ponerlo justo al incio del fichero
order allow,deny
deny from 45.227.253.
deny from 78.128.113.
Esto hará que la web devuelva un 403 a las peticiones que vengan de las ip’s que tengan esos rangos.
Importante: fijaos que que ponemos 45.227.253. dejando un punto al final. Esto hacemos que htacces bloquee el acceso a las ip’s:
45.227.253.1
45.227.253.2
45.227.253.3
45.227.253.4
45.227.253.X
Veamos de dónde viene el ataque
Después de parar el golpe, nos puede picar la curiosidad de saber de dónde son las Ip’s. Para ello, podemos visitar la web:
Ahí ponemos la ip y nos dirá de dónde es. Ahora bien, eso no significa que el ataque sea desde allí… Ese es otro tema.
Opinión
Este pequeño tutorial es únicamente para para el golpe. No solucionamos nada. Los atacantes pueden ir cambiando los rangos de Ip’s y es un no acabar.
Hay que evitar llegar aquí, aunque en ocaciones, hay ataques tan bien hechos que es difícil pararlos.
En plesk, podéis utilizar herramients como:
- fail2ban, que bloque Ip’s de ataques. Es bastante efectivo, pero en ocasiones, como en este ejemplo, no paró el ataque.
- modsecurity, otro módulo de plesk que te asegura un poco más la web.
Por otro lado, no pueden faltar los backups. Es la última linea de salvación en caso de catástrofe…
Hay servicios externos que te hacen de Firewall muy efectivos, y que hay que ir pagando anualmente. En ocasiones, merece la pena. Son Firewalls muy buenos, un poco complicados de poner en marcha, pero al final, por las noches puedes dormir….
Espero que este pequeño ejemplo de ataque DDOS que hemos sufrido os puede servir para parar el golpe inicial.
Más información