Carlos E. R. wrote:
Claro.
Se puede ver, por ejemplo, si ves que al apache le llegan peticiones de paginas raras que sólo contienen los servidores de microsoft, típicas de ataques a sus servidores. Eso es un tipo de ataque se sólo se puede descubrir analizando las peticiones, y es el apache quien está en mejor situación para verlos, porque no son peticiones legítimas (no para un M$, pero menos para un apache).
O el ataque puede ser porque llegan cientos de peticiones simultáneas de un robot explorando tu servidor web entero, clonándolo, o simplemente para cargar la información en un buscador como gugle, saturando el servidor porque no tiene tanta capacidad de servicio simultáneo.
O puede ser un robot que no hace caso de lo que ponga el fichero "robots" de cada directorio, explorando a lo mejor páginas dinámicas, lo que no tiene sentido y satura el apache y más la base de datos que genera esas páginas detrás.
O puede ser un ataque desde sólo una IP que no cambia en días.
Dependiendo de la respuesta a esas preguntas, la respuesta cambia mucho.
Sin ánimo de liarla más hasta que la persona que ha abierto el thread "respire". Yo creo que sí hay una respuesta común a todo lo que planteas Carlos: iptables con un IDS o HIDS. Cubres todas estas opciones y algunas más ... Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org