Diagnóstico de ataques DoS/DDoS en servidores Plesk

Identificar y responder rápidamente a un ataque DoS o DDoS es crucial para mantener la salud y el funcionamiento óptimo de un servidor web. En este artículo, presentamos métodos detallados para diagnosticar estos ataques en servidores Plesk, tanto para Linux como para Windows Server.

Diagnóstico en Tiempo Real en Linux

Conexión SSH al servidor: Comience estableciendo una conexión SSH con su servidor para ejecutar comandos de diagnóstico en tiempo real.

Determinación de IPs y conexiones: Use el comando a continuación para identificar las direcciones IP y el número de conexiones, especialmente a los puertos 80 y 443:

ss -tan state established | grep ":80\|:443" | awk '{print $4}'| cut -d':' -f1 | sort -n | uniq -c | sort -nr

Identificación de dominios bajo ataque: Para averiguar qué dominios están siendo atacados actualmente, ejecute:

for log in /var/www/vhosts/system/*/logs/*access*log; do echo -n "$log "; tail -n10000 "$log" | grep -c 203.0.113.2; done | sort -n -k2

Chequeo de conexiones SYN_RECV: Este comando ayuda a identificar un posible ataque syn-flood revisando el número de conexiones en estado SYN_RECV:

ss -tan state syn-recv | wc -l

Determinación de la IP objetivo: Si hay varias direcciones IP en Plesk, use este comando para identificar cuál está bajo ataque:

netstat -lpan | grep SYN_RECV | awk '{print $4}' | cut -d: -f1 | sort | uniq -c | sort -nk 1

Para un Ataque Finalizado

Creación de un entorno de investigación: Después de acceder al servidor vía SSH, prepare un directorio para analizar los logs históricos siguiendo estos pasos:

1
2
3
mkdir /root/inv
cd /var/www/vhosts/system
for i in *; do mkdir /root/inv/$i; done

Recopilación de log-files: Copie los log-files de los últimos días al entorno de investigación:

for i in *; do find $i -mtime -3 -type f -exec cp -a {} /root/inv/$i \;; done

Descompresión y filtrado: Proceda a descomprimir los archivos log y eliminar archivos irrelevantes para el análisis.

Análisis y reporte: Use comandos de filtrado y ordenamiento para identificar los archivos log más relevantes y los patrones de acceso durante el ataque.

Diagnóstico en Windows Server

Conexión RDP y Prompt de Comando: Para servidores Windows, conéctese vía RDP y abra una ventana de comandos para ejecutar:

netstat -ano | find /c "80"
netstat -ano | find /c "443"

Interpretación: Un número elevado de conexiones a estos puertos es indicativo de un ataque DDoS.

Conclusión

La pronta identificación de un ataque DoS/DDoS permite tomar las medidas necesarias para mitigarlo y proteger la integridad del servidor. Al seguir estos comandos y procedimientos detallados para Plesk en Linux y Windows Server, los administradores de sistemas pueden diagnosticar y responder eficazmente a estos ataques, salvaguardando así la disponibilidad y el rendimiento de los sitios web.

Suscríbete al boletín SysAdmin

Este es tu recurso para las últimas noticias y consejos sobre administración de sistemas, Linux, Windows, cloud computing, seguridad de la nube, etc. Lo enviamos 2 días a la semana.

¡Apúntate a nuestro newsletter!


– patrocinadores –

Noticias destacadas

– patrocinadores –

¡SUSCRÍBETE AL BOLETÍN
DE LOS SYSADMINS!

Scroll al inicio
×