Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Aiuto il mio Captive Portal è sotto attacco

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
onwavenet



Registrato: 10/02/08 12:03
Messaggi: 62
Residenza: Martina Franca

MessaggioInviato: Mer Dic 16, 2009 9:37 pm    Oggetto: Aiuto il mio Captive Portal è sotto attacco Rispondi citando

sono ormai 6 giorni che mi capita:

ad un certo punto il captive portal si blocca, cioè se un utente cerca di avviare una sessione di navigazione, sul browser non compare la schermata del captive portal attraverso la quale ci si autentifica. Chi invece è già connesso continua a navigare fino a quando non si chiude il pop up di connessione che non riesce più ad aggiornarsi.
appena comincio a ricevere la valanga delle telefonate di lamentela dei miei utenti, se cerco di accedere da amministratore all'indirizzo del server non mi si apre neanche la schermata di login del pannello di controllo di zero; e non riesco a dare il comando di riavvio neanche direttamente da shell. sono costretto a resettare brutalmente. ho pensato, se è in corso un attacco dos, provo a staccare il cavo di rete lato utenti così vediamo se zero si riprende, ma non ho ottenuto risultati, il server resta sempre piantato. quando riavvio il server se visualizzo i grafici di utilizzo della cpu, si nota in corrispondenza dell'ora dell'attacco, un picco che mi è arrivato fino a 1860,0 percento!!!! ho pensato che forse le risorse hardware non sono sufficienti per far girare il servizio qos insieme al captive portal, allora ho aggiunto un altro server in cascata a quello esistente con il solo servizio captive attivo, ma non ho ottenuto nessun beneficio. ho provato anche a spostare il tempo di refresh del popup di connessione da 15 minuti a 30 minuti, ma nessuna miglioria.
Ho il sospetto che ci sia qualche utente che mi bobmbarda la porta 12080 del captive portal fino a farlo inchiodare.
come posso fare per riuscire a risolvere questo grave problema????

ALCUNI DATI:

serve su cui è attivo il captive:
pentium 4 3ghz dual core 1024 ram hdd 120gb 2 schede di rete 10.100

massimo numero di utenti connessi simultaneamente: 126


AIUTO!!!

ciao
luca
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Gio Dic 17, 2009 2:04 pm    Oggetto: Rispondi citando

Consiglio mio:

Apri 3 connessioni in ssh.
Entra su tutte e tre nella shell.

Su una: iptraf
Così tieni monitorato il traffico

Sull'altra: top
Così controlli il carico della CPU

Sull'ultima: top e nella schermata del top premi M
così controlli il consumo di memoria.
Top
Profilo Invia messaggio privato
onwavenet



Registrato: 10/02/08 12:03
Messaggi: 62
Residenza: Martina Franca

MessaggioInviato: Gio Dic 17, 2009 8:35 pm    Oggetto: Rispondi citando

ma in iptraff visualizzo dai 100 ai 130 utenti,
come faccio a capire chi crea il problema???
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Gio Dic 17, 2009 10:24 pm    Oggetto: Rispondi citando

Ordinando la lista per traffico o numero di connessioni....
così il rompiscatole probabilmente compare in cima alla lista!
Top
Profilo Invia messaggio privato
onwavenet



Registrato: 10/02/08 12:03
Messaggi: 62
Residenza: Martina Franca

MessaggioInviato: Ven Dic 18, 2009 10:01 pm    Oggetto: Rispondi citando

Ho dato un occhiata al file di log del captive portal. Posto una porzione di esso in corrispondenza del blocco del server:

17:10:28 AS: http session (Client: 10.0.1.47) captured for authentication (AS: 10.0.0.1)
17:10:28 AS: http session (Client: 10.0.1.47) captured for authentication (AS: 10.0.0.1)
17:10:30 AS: trying Kerberos 5 (External KDC) authentication for GIACOMO@ONWAVENET.COM (Client: 10.0.1.10)
17:10:30 AS: Success: user GIACOMO@ONWAVENET.COM (Client: 10.0.1.10) successfully authenticated (Username,Password)
17:10:30 GW: Success: user GIACOMO@ONWAVENET.COM (IP: 10.0.1.10 MAC: 00:15:6D:D2:56:54) connected
17:11:33 AS: http session (Client: 10.0.0.57) captured for authentication (AS: 10.0.0.1)

17:14:02 GW: warning: decryption failed for the user nipotini@ONWAVENET.COM (client: 10.0.1.152). Check the Shared Secret.
17:14:10 GW: warning: decryption failed for the user loreto@ONWAVENET.COM (client: 10.0.1.125). Check the Shared Secret.
17:14:17 GW: warning: decryption failed for the user Gjonpalaj@ONWAVENET.COM (client: 10.0.1.143). Check the Shared Secret.
17:14:26 GW: warning: decryption failed for the user lorenzo@ONWAVENET.COM (client: 10.0.0.62). Check the Shared Secret.
17:15:28 GW: warning: decryption failed for the user naucleros@ONWAVENET.COM (client: 10.0.1.149). Check the Shared Secret.

17:44:05 AS: Success: Captive Portal Authentication Server started
17:44:06 GW: warning: authenticator expired for pastorefederico@ONWAVENET.COM (Client: 10.0.0.172)
17:44:06 GW: Success: user pastorefederico@ONWAVENET.COM (IP: 10.0.0.172 MAC: 00:15:6D:E4:4A:7A) disconnected
17:44:06 GW: warning: authenticator expired for officinamontanaro@ONWAVENET.COM (Client: 10.0.1.25)
17:44:06 GW: Success: user officinamontanaro@ONWAVENET.COM (IP: 10.0.1.25 MAC: 00:15:6D:D4:ED:B9) disconnected


Come si può notare nella prima parte tutto sembra essere normale, poi ci sono 5 messaggi di decription failed fino alle 17:15:28 poi il blocco fino alle 17:44:05, momento in cui ho resettato Zero.

ho fatto una ricerca nel forum ed ho trovato la seguente discussione:

http://www.zeroshell.net/forum/viewtopic.php?t=1576&highlight=decryption+failed+for+the+user&sid=a44e973b978046f4a6d3b901563ff300


in cui viene descritto esattamente quello che accade anche a me. La differenza sta nel fatto che io ho a disposizione un disco molto più capiente, occupato solo per il 12 percento.

stasera ho comunque inserito nel Cron le stringhe consigliate da Fulvio in quel post, sperando di risolvere il problema.

Incrociando le dita, vi farò sapere.

Ciao
[/url]
Top
Profilo Invia messaggio privato
onwavenet



Registrato: 10/02/08 12:03
Messaggi: 62
Residenza: Martina Franca

MessaggioInviato: Mar Dic 29, 2009 1:44 pm    Oggetto: Rispondi citando

Al momento tutto Ok Ragazzi!!!
Sono passati 10 giorni e la CPU di zero non ha mai più superato il 100 percento, in media resta sempre ferma intorno al 40 percento.
Ecco quello che ho inserito nel CRON da eseguire automaticamente ogni 15 minuti.

find /tmp -name "last_output.*" -cmin +10 -exec rm -f {} \;

find /tmp -name "kerbynet.err.*" -cmin +10 -exec rm -f {} \;

find /tmp -name "shell_o*" -cmin +10 -exec rm -f {} \;

radius_tmp_file="/tmp/RadiusLog.env"

rm -f $radius_tmp_file

touch $radius_tmp_file

Ciao!!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Dic 30, 2009 10:26 am    Oggetto: Rispondi citando

La release beta12 risolve gia' il tuo problema. Che versione usi?
Top
Profilo Invia messaggio privato
onwavenet



Registrato: 10/02/08 12:03
Messaggi: 62
Residenza: Martina Franca

MessaggioInviato: Mer Dic 30, 2009 1:43 pm    Oggetto: Rispondi citando

Proprio la beta 12

ad oggi, dopo l'aggiunta di quelle righe non ho più avuto blocchi. Sarà una coincidenza??? che cosa posso verificare??


Ciao
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Dic 30, 2009 1:55 pm    Oggetto: Rispondi citando

La beta12 fa la pulizia di /tmp in auto come descritto sotto.


# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (/tmp/crontab installed on Mon Oct 26 09:44:33 2009)
# (Cron version V5.0 -- $Id: crontab.c,v 1.12 2004/01/23 18:56:42 vixie Exp $)
15 * * * * /root/kerbynet.cgi/scripts/cleantmp
Top
Profilo Invia messaggio privato
onwavenet



Registrato: 10/02/08 12:03
Messaggi: 62
Residenza: Martina Franca

MessaggioInviato: Mer Dic 30, 2009 2:01 pm    Oggetto: Rispondi citando

quindi?
secondo te cosa può essere successo?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Dic 30, 2009 2:12 pm    Oggetto: Rispondi citando

Non lo so. Bisogna indagare quando il problema si verifica.
Top
Profilo Invia messaggio privato
onwavenet



Registrato: 10/02/08 12:03
Messaggi: 62
Residenza: Martina Franca

MessaggioInviato: Mer Dic 30, 2009 2:16 pm    Oggetto: Rispondi citando

Per adesso, non si è più verificato; ma se si dovesse verificare ancora, cosa posso fare?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it