Re: [CentOS-es] Intento de Hackeo
Creo que cambiando el puerto ssh no es una solucion, pues te dan un port scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, pues no tengo problemas en cambiar el puerto. Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como limitar el numero de intentos y el tiempo para logearse. Creo que no puedo moverle para que solo unas ip entren al servidor por ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se puede agradeceria la aportacion. El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió: cambia el puerto de ssh César D. Cruz Arrunátegui - Mensaje original - De: Jesús Rivasje...@evangelizacion.org.mx Para: centos-es@centos.org Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos!!! Jesus Alonso Rivas Sistemas _ Evangelización Activa Comunicación Digital al Servicio del Evangelio www.evangelizacion.org.mx ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
privilegios en el sistema (p. ej. jesusadmin) que usa el administrador para acceder remotamente . (c) El login del usuario administrativo no aparece en ninguno de los diccionarios de nombres de usuario que se bajan de Internet (vaya cerrando desde aquí la ventana de exposición). Acciones: 1) crear los grupos usesu y usessh 2) Se hacen miembros del grupo su al usuario root y al usuario administrativo. 3) Se hace miembro del grupo usessh al usuario administrativo y a todos los usuarios que ingresen por SSH al servidor. 2) Limitar el uso del comando su: únicamente al usuario de acceso administrativo (p. ej. jesusadmin) y root puede hacer su. Esto se hace editando /etc/pam.d/su y poniendo: authrequiredpam_wheel.so group=usesu Opcional: usar también sudo y asegurarlo. 3) Se activan/cambia las siguientes opciones del servicio SSH para configurar el ingreso por llave DSA: Protocol 2 # importante LoginGraceTime 30s#se reduce el tiempo de espera PermitRootLogin no # no puede iniciar sesión el root StrictModes yes MaxAuthTries 3# solo puede probar 3 veces RSAAuthentication no # autenticación por llave RSA (insegura) se desactiva PubkeyAuthentication yes # aquí esta la magia PasswordAuthentication yes # no hay de otra a menos que abramos un curso de autenticación por llave para SSH en la empresa GSSAPIAuthentication no # si no se usa se apaga AllowGroups usessh # solo se permite el acceso a los miembros del grupo del sistema usessh 4) Activar y configurar fail2ban 5) Implementar una política de claves que obligue al cambio periódico de las mismas cada 3 meses o menos, que verifique que tengan una longitud mínima de 8 ó más caracteres y se verifiquen contra un diccionario de frases regionalizado. OPCIONAL: - activar el acceso por llave para el usuario administrativo y para el root. PARANOIA TOTAL: - habilite el port knocking y enséñele a los usuarios a usarlo o cree scripts de acceso en Windows, Linux y MAC para que los usuarios puedan acceder (esto va para muy bien para aquellos que tienen alma de pedagogos). PARANOIA ABSOLUTA: - Todos los usuarios usan port knocking y se autentican con llave MIS RESPETOS Y ADMIRACIÓN (por favor de ser posible, envíeme el procedimiento de configuración): - Use kerberos contra un AD para autenticar los usuarios, con una divertida política de claves y fail2ban. Hasta la próxima: Carlos A. Martínez 2011/10/13 Jesús Rivas je...@evangelizacion.org.mx Creo que cambiando el puerto ssh no es una solucion, pues te dan un port scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, pues no tengo problemas en cambiar el puerto. Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como limitar el numero de intentos y el tiempo para logearse. Creo que no puedo moverle para que solo unas ip entren al servidor por ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se puede agradeceria la aportacion. El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió: cambia el puerto de ssh César D. Cruz Arrunátegui - Mensaje original - De: Jesús Rivasje...@evangelizacion.org.mx Para: centos-es@centos.org Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos!!! Jesus Alonso Rivas Sistemas _ Evangelización Activa Comunicación Digital al Servicio del Evangelio www.evangelizacion.org.mx ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
Buen punto, deja ver eso El 13/10/2011 09:31, Yoinier Hernandez Nieves escribió: El 13/10/11 10:21, Jesús Rivas escribió: Creo que cambiando el puerto ssh no es una solucion, pues te dan un port scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, pues no tengo problemas en cambiar el puerto. Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como limitar el numero de intentos y el tiempo para logearse. Creo que no puedo moverle para que solo unas ip entren al servidor por ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se puede agradeceria la aportacion. El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió: cambia el puerto de ssh César D. Cruz Arrunátegui - Mensaje original - De: Jesús Rivasje...@evangelizacion.org.mx Para: centos-es@centos.org Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es cuando te refieres a IP dinamicas, tu ISP no te da cualquier IP, sino algun IP de los bloques que le fueron asignados, lo que puedes hacer es averiguar los rangos IP de tu proveedor, y solo permites esos IP, con eso limitas bastante las IP que puedan acceder a tu SSH. Yo. -- Saludos!!! Jesus Alonso Rivas Sistemas _ Evangelización Activa Comunicación Digital al Servicio del Evangelio www.evangelizacion.org.mx ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
Otra buena opción es solo habilitar el acceso a través de una llave publica Mensaje enviado desde mi terminal BlackBerry® de Claro -Original Message- From: Carlos Martinez cama...@gmail.com Sender: centos-es-boun...@centos.org Date: Thu, 13 Oct 2011 10:47:50 To: centos-es@centos.org; je...@evangelizacion.org.mx Reply-To: centos-es@centos.org Subject: Re: [CentOS-es] Intento de Hackeo Saludos. Para proteger el SSH hay muchas recomendaciones distintas y cada persona generalmente da la que mejor le ha funcionado (yo daré la mía también). Huelga decir que los ataques de diccionario (fuerza bruta), no suelen ser muy eficientes y el mayor daño que causan radica en el ancho de banda y los recursos que consumen. Si se tiene una buena clave y el acceso es solo de tipo administrativo (entra solamente el administrador), la posibilidad de que den con la clave de acceso es remota. Algo un poco distinto ocurre cuando tenemos usuarios normales entrado por SSH donde la clave muchas veces se vuelve 123456 (asignada incluso por el mismo administrador). Aquí, un ataque de diccionario se empieza a tornar peligroso (entre más peces tenga el lago, más probable es pescar uno). Con estos dos ambientes (SSH de acceso administrativo y SSH para acceso remoto de usuarios), lo que yo recomendaría es lo siguiente: SSH de acceso administrativo Condiciones: (a) Solo se accede por SSH al servidor para administrarlo y no hay usuarios normales con acceso por SSH. (b) Existe un usuario sin privilegios en el sistema (p. ej. jesusadmin) que usa el administrador para acceder remotamente . (c) El login del usuario administrativo no aparece en ninguno de los diccionarios de nombres de usuario que se bajan de Internet (vaya cerrando desde aquí la ventana de exposición). Acciones: 1) crear los grupos usesu y usessh 2) Se hacen miembros del grupo usesu al usuario root y al usuario administrativo. 3) Se hace miembro del grupo usessh al usuario administrativo. 2) Limitar el uso del comando su: únicamente al usuario de acceso administrativo (p. ej. jesusadmin) y root puede hacer su. Esto se hace editando /etc/pam.d/su y poniendo: authrequiredpam_wheel.so group=usesu 3) Se activan/cambian las siguientes opciones del servicio SSH para configurar el ingreso por llave DSA: Protocol 2 # importante la version 1 se considera insegura LoginGraceTime 20s#se reduce el tiempo de espera. Malo cuando el canal de acceso no es bueno y toca aumentar el tiempo PermitRootLogin no # no puede iniciar sesión el root StrictModes yes MaxAuthTries 3# solo puede probar 3 veces RSAAuthentication no # autenticación por llave RSA (insegura) se desactiva PubkeyAuthentication yes # aquí esta la magia PasswordAuthentication no # aquí se acaba con la efectividad de los ataques de diccionario, aunque no se limita el consumo de recursos GSSAPIAuthentication no # si no se usa se apaga AllowGroups usessh # solo se permite el acceso a los miembros del grupo del sistema usessh 4) Crear una llave pública y privada para SSH del tipo DSA con el comando ssh-keygen -t dsa. 5) La llave publica se deja en la cuenta del usuario administrador en ~/.ssh/authorized_keys. El directorio ~/.ssh debe tener permisos 700 y el archivo authorized_keys permisos 400 y pertenecer al usuario y grupo del usuario administrativo. Se protege el archivo de manipulación y modificación con el comando chattr +i authorized_keys 6) La llave privada se conserva protegida con un passphrase y no debe estar en ningún servidor. Solamente debe estar en el equipo desde el cual accedemos o en una memoria USB. SIEMPRE debe estar protegida con un passphrase. La llave privada es 'lo que tenemos' y el passphrase 'lo que sabemos' en la parte de la autenticación para poder autenticarnos en el servidor. Ya no se pide clave para ingresar. 7) Protegerse del scan de puertos y del consumo de recursos del ataque de diccionario de SSH habilitando el Port knocking para SSH. Si el port knocking no es posible, activar fail2ban. No detiene el ataque de diccionario pero limita enormemente su efectividad. Si se está realmente paranoico: fail2ban + cambio de puerto para el servicio SSH. El cambio de puerto no lo recomiendo, prefiero el port knocking que hace algo parecido, pero también funciona. La seguridad a través de la oscuridad funciona (¿acaso ustedes ven a los ladrones con un cartel grande que dice soy ladrón?. Ellos usan la (in)seguridad a través de la oscuridad para hacer sus fechorías, así que tampoco deberíamos andar diciendo en Internet Mi servidor tiene SSH, por favor atáquenme). OPCIONAL: - Dado que ya no se usan claves en SSH cada uno decide si permite el acceso a root por SSH o no. Si lo quiere hacer, realizar las siguientes acciones: I) Se hace miembro del grupo usessh al usuario root. II) Se cambia
Re: [CentOS-es] Intento de Hackeo
Condiciones: (a) Se accede por SSH al servidor para administrarlo y también hay usuarios normales con acceso por SSH. (b) Existe un usuario sin privilegios en el sistema (p. ej. jesusadmin) que usa el administrador para acceder remotamente . (c) El login del usuario administrativo no aparece en ninguno de los diccionarios de nombres de usuario que se bajan de Internet (vaya cerrando desde aquí la ventana de exposición). Acciones: 1) crear los grupos usesu y usessh 2) Se hacen miembros del grupo su al usuario root y al usuario administrativo. 3) Se hace miembro del grupo usessh al usuario administrativo y a todos los usuarios que ingresen por SSH al servidor. 2) Limitar el uso del comando su: únicamente al usuario de acceso administrativo (p. ej. jesusadmin) y root puede hacer su. Esto se hace editando /etc/pam.d/su y poniendo: authrequiredpam_wheel.so group=usesu Opcional: usar también sudo y asegurarlo. 3) Se activan/cambia las siguientes opciones del servicio SSH para configurar el ingreso por llave DSA: Protocol 2 # importante LoginGraceTime 30s#se reduce el tiempo de espera PermitRootLogin no # no puede iniciar sesión el root StrictModes yes MaxAuthTries 3# solo puede probar 3 veces RSAAuthentication no # autenticación por llave RSA (insegura) se desactiva PubkeyAuthentication yes # aquí esta la magia PasswordAuthentication yes # no hay de otra a menos que abramos un curso de autenticación por llave para SSH en la empresa GSSAPIAuthentication no # si no se usa se apaga AllowGroups usessh # solo se permite el acceso a los miembros del grupo del sistema usessh 4) Activar y configurar fail2ban 5) Implementar una política de claves que obligue al cambio periódico de las mismas cada 3 meses o menos, que verifique que tengan una longitud mínima de 8 ó más caracteres y se verifiquen contra un diccionario de frases regionalizado. OPCIONAL: - activar el acceso por llave para el usuario administrativo y para el root. PARANOIA TOTAL: - habilite el port knocking y enséñele a los usuarios a usarlo o cree scripts de acceso en Windows, Linux y MAC para que los usuarios puedan acceder (esto va para muy bien para aquellos que tienen alma de pedagogos). PARANOIA ABSOLUTA: - Todos los usuarios usan port knocking y se autentican con llave MIS RESPETOS Y ADMIRACIÓN (por favor de ser posible, envíeme el procedimiento de configuración): - Use kerberos contra un AD para autenticar los usuarios, con una divertida política de claves y fail2ban. Hasta la próxima: Carlos A. Martínez 2011/10/13 Jesús Rivasje...@evangelizacion.org.mx Creo que cambiando el puerto ssh no es una solucion, pues te dan un port scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, pues no tengo problemas en cambiar el puerto. Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como limitar el numero de intentos y el tiempo para logearse. Creo que no puedo moverle para que solo unas ip entren al servidor por ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se puede agradeceria la aportacion. El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió: cambia el puerto de ssh César D. Cruz Arrunátegui - Mensaje original - De: Jesús Rivasje...@evangelizacion.org.mx Para: centos-es@centos.org Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos!!! Jesus Alonso Rivas Sistemas _ Evangelización Activa Comunicación Digital al Servicio del Evangelio www.evangelizacion.org.mx ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos!!! Jesus Alonso Rivas Sistemas _ Evangelización Activa Comunicación Digital al Servicio del Evangelio www.evangelizacion.org.mx
Re: [CentOS-es] Intento de Hackeo
Estimados: Para mi la mejor manera de solucionar esto es ponerse paranoico y generar una clave de scaneo de apertura de puerto el ejemplo seria el siguiente consutar el puerto 34 luego el puerto 70 , luego el puerto 72 y leugo puerto 73 , con esta secuencia de escaneo se abriria el puerto 22 por 5 segundos y luego se cierra. (bloqueando conexiones Nuevas, y solo dejar pasar conexiones establecidas). /sbin/iptables -N INTO-PHASE2 /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set /sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix INTO PHASE2: /sbin/iptables -N INTO-PHASE3 /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set /sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix INTO PHASE3: /sbin/iptables -N INTO-PHASE4 /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set /sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix INTO PHASE4: /sbin/iptables -A INPUT -m recent --update --name PHASE1 /sbin/iptables -A INPUT -p tcp --dport 34 -m recent --set --name PHASE1 /sbin/iptables -A INPUT -p tcp --dport 70 -m recent --rcheck --name PHASE1 -j INTO-PHASE2 /sbin/iptables -A INPUT -p tcp --dport 72 -m recent --rcheck --name PHASE2 -j INTO-PHASE3 /sbin/iptables -A INPUT -p tcp --dport 73 -m recent --rcheck --name PHASE3 -j INTO-PHASE4 iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name PHASE4 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP 2011/10/13 Yoinier Hernandez Nieves ynie...@lt.datazucar.cu El 13/10/11 10:21, Jesús Rivas escribió: Creo que cambiando el puerto ssh no es una solucion, pues te dan un port scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, pues no tengo problemas en cambiar el puerto. Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como limitar el numero de intentos y el tiempo para logearse. Creo que no puedo moverle para que solo unas ip entren al servidor por ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se puede agradeceria la aportacion. El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió: cambia el puerto de ssh César D. Cruz Arrunátegui - Mensaje original - De: Jesús Rivasje...@evangelizacion.org.mx Para: centos-es@centos.org Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es cuando te refieres a IP dinamicas, tu ISP no te da cualquier IP, sino algun IP de los bloques que le fueron asignados, lo que puedes hacer es averiguar los rangos IP de tu proveedor, y solo permites esos IP, con eso limitas bastante las IP que puedan acceder a tu SSH. Yo. -- Yoinier Hernández Nieves. Administrador de Redes. División ZETI Nodo Provincial Datazucar Las Tunas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- _ Juan Pablo Sabino I. Ing Consultor - Linux Specialist RedHat Certified Engineer (RHCE) RedHat Certified Instructor (RHCI) Elastix Certified Engineer (ECE) Departamento Proyectos e Implementación Cel: +56 9 9842 3494 _ ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
El jue, 13-10-2011 a las 12:28 -0300, juan sabino escribió: Estimados: Para mi la mejor manera de solucionar esto es ponerse paranoico y generar una clave de scaneo de apertura de puerto el ejemplo seria el siguiente consutar el puerto 34 luego el puerto 70 , luego el puerto 72 y leugo puerto 73 , con esta secuencia de escaneo se abriria el puerto 22 por 5 segundos y luego se cierra. (bloqueando conexiones Nuevas, y solo dejar pasar conexiones establecidas). port knocking, buenísimo. Hay un paquete llamado knockd si mal no recuerdo. saludos epe /sbin/iptables -N INTO-PHASE2 /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set /sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix INTO PHASE2: /sbin/iptables -N INTO-PHASE3 /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set /sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix INTO PHASE3: /sbin/iptables -N INTO-PHASE4 /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set /sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix INTO PHASE4: /sbin/iptables -A INPUT -m recent --update --name PHASE1 /sbin/iptables -A INPUT -p tcp --dport 34 -m recent --set --name PHASE1 /sbin/iptables -A INPUT -p tcp --dport 70 -m recent --rcheck --name PHASE1 -j INTO-PHASE2 /sbin/iptables -A INPUT -p tcp --dport 72 -m recent --rcheck --name PHASE2 -j INTO-PHASE3 /sbin/iptables -A INPUT -p tcp --dport 73 -m recent --rcheck --name PHASE3 -j INTO-PHASE4 iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name PHASE4 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP 2011/10/13 Yoinier Hernandez Nieves ynie...@lt.datazucar.cu El 13/10/11 10:21, Jesús Rivas escribió: Creo que cambiando el puerto ssh no es una solucion, pues te dan un port scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, pues no tengo problemas en cambiar el puerto. Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como limitar el numero de intentos y el tiempo para logearse. Creo que no puedo moverle para que solo unas ip entren al servidor por ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se puede agradeceria la aportacion. El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió: cambia el puerto de ssh César D. Cruz Arrunátegui - Mensaje original - De: Jesús Rivasje...@evangelizacion.org.mx Para: centos-es@centos.org Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es cuando te refieres a IP dinamicas, tu ISP no te da cualquier IP, sino algun IP de los bloques que le fueron asignados, lo que puedes hacer es averiguar los rangos IP de tu proveedor, y solo permites esos IP, con eso limitas bastante las IP que puedan acceder a tu SSH. Yo. -- Yoinier Hernández Nieves. Administrador de Redes. División ZETI Nodo Provincial Datazucar Las Tunas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
O mejor cierra todos los puertos y usa una VPN. -Mensaje original- De: centos-es-boun...@centos.org [mailto:centos-es-boun...@centos.org] En nombre de Yoinier Hernandez Nieves Enviado el: jueves, 13 de octubre de 2011 09:31 a.m. Para: centos-es@centos.org; je...@evangelizacion.org.mx Asunto: Re: [CentOS-es] Intento de Hackeo El 13/10/11 10:21, Jesús Rivas escribió: Creo que cambiando el puerto ssh no es una solucion, pues te dan un port scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, pues no tengo problemas en cambiar el puerto. Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como limitar el numero de intentos y el tiempo para logearse. Creo que no puedo moverle para que solo unas ip entren al servidor por ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se puede agradeceria la aportacion. El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió: cambia el puerto de ssh César D. Cruz Arrunátegui - Mensaje original - De: Jesús Rivasje...@evangelizacion.org.mx Para: centos-es@centos.org Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es cuando te refieres a IP dinamicas, tu ISP no te da cualquier IP, sino algun IP de los bloques que le fueron asignados, lo que puedes hacer es averiguar los rangos IP de tu proveedor, y solo permites esos IP, con eso limitas bastante las IP que puedan acceder a tu SSH. Yo. -- Yoinier Hernández Nieves. Administrador de Redes. División ZETI Nodo Provincial Datazucar Las Tunas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
cambia el puerto de ssh César D. Cruz Arrunátegui - Mensaje original - De: Jesús Rivas je...@evangelizacion.org.mx Para: centos-es@centos.org Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
Denyhosts es un rpm que te puede ayudar -- Enviado desde mi teléfono Android con K-9 Mail. Disculpa mi brevedad Jesús Rivas je...@evangelizacion.org.mx escribió: Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? _ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
denyhost + APF + FAIL2BAN Sls El 11 de octubre de 2011 10:54, Lic. Domingo Varela Yahuitl. domin...@linuxsc.net escribió: Denyhosts es un rpm que te puede ayudar -- Enviado desde mi teléfono Android con K-9 Mail. Disculpa mi brevedad Jesús Rivas je...@evangelizacion.org.mx escribió: Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? _ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Anthony Mogrovejo cel. 995319333 Consultor IT Linux User # 433253 Ubuntu User # 9562 www.anferinux.blogspot.com www.kdetony.org twitter: @kde_tony ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
fail2ban Es una maravilla para estos casos. - Mensaje original - De: Jesús Rivas je...@evangelizacion.org.mx Para: centos-es@centos.org Enviado: martes, 11 de octubre de 2011 17:53 Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Saludos Salvador Guzman Salman PSL Vigo, Galicia, España +34 986.21.30.27 +34 679-Salman Correo @Salman.ES Informaciones @Salman.ES para listas de correo http://Salman.EU/ ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
Excelente, muchas gracias por las aportaciones ya me puse a leer. El 11/10/2011 11:03, Salvador Guzman - Salman PSL escribió: fail2ban Es una maravilla para estos casos. - Mensaje original - De: Jesús Rivasje...@evangelizacion.org.mx Para:centos-es@centos.org Enviado: martes, 11 de octubre de 2011 17:53 Asunto: [CentOS-es] Intento de Hackeo Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing). Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar. ¿Alguna otra recomendacio que me puedan dar para evitar esto? ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Saludos Salvador Guzman Salman PSL Vigo, Galicia, España +34 986.21.30.27 +34 679-Salman Correo @Salman.ES Informaciones @Salman.ES para listas de correo http://Salman.EU/ ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos!!! Jesus Alonso Rivas Sistemas _ Evangelización Activa Comunicación Digital al Servicio del Evangelio www.evangelizacion.org.mx ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
Un enlace para configurar Denyhost: http://www.ecualug.org/2007/jun/26/blog/juank6_66/c_mo_prevenir_ataques_de_diccionario_o_fuerza_bruta_contra_ssh Lo configuras para que te permita una cantidad limitada de intentos de acceso via ssh, si excedes el limite de intentos envía la IP al hosts.deny, también puedes indicar que IP son de confianza para permitir una cantidad mayor de intentos, te puede enviar un correo indicando que se ha bloqueado alguna IP Saludos, -- José A. Sabastizagal Orellana http://linux-ica.blogspot.com/ http://informaticoderecho.blogspot.com/ Linux Registered User # 469777 Me lo contaron y lo olvide. Lo ví y lo entendí. Lo hice y lo aprendí (Confucio) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
Gracias de hecho esta es la primera que me dio google, solo que me dio problemas Recuperando http://apt.sw.be/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm error: omitiendo http://apt.sw.be/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.x86_64.r pm - transferencia fallida - Error inesperado o desconocido advertencia: u 0x8ba3c40 ctrl 0x92f95d8 nrefs != 0 (apt.sw.be http) ando viendo que es El 11/10/2011 11:35, César Martinez escribió: Aqui otro link http://www.cyberciti.biz/faq/rhel-linux-block-ssh-dictionary-brute-force-attacks/ Cordialmente Ing. César Martínez SERVICOM User Linux 494131 Oficina 02-2554-271 02-2221-386 Móvil 09-9374-317 Email Msn cmarti...@servicomecuador.com Skype servicomecuador Pin BlackBerry 21DB3490 Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador.com Facebook: http://www.facebook.com/servicomecuador.com Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.blogspot.com/ Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Quito - Ecuador - Sudamérica = Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. = On 11/10/11 11:20, Jose Sabastizagal wrote: Un enlace para configurar Denyhost: http://www.ecualug.org/2007/jun/26/blog/juank6_66/c_mo_prevenir_ataques_de_diccionario_o_fuerza_bruta_contra_ssh Lo configuras para que te permita una cantidad limitada de intentos de acceso via ssh, si excedes el limite de intentos envía la IP al hosts.deny, también puedes indicar que IP son de confianza para permitir una cantidad mayor de intentos, te puede enviar un correo indicando que se ha bloqueado alguna IP Saludos, ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos!!! Jesus Alonso Rivas Sistemas _ Evangelización Activa Comunicación Digital al Servicio del Evangelio www.evangelizacion.org.mx ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
Muchas gracias a todos me sirvio esta liga http://azimyasin.wordpress.com/2008/05/09/installing-denyhosts-on-centos/ exactamente como esta pues tengo python 2.3 y 2.4 Saludos El 11/10/2011 11:40, Jesús Rivas escribió: Gracias de hecho esta es la primera que me dio google, solo que me dio problemas Recuperando http://apt.sw.be/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm error: omitiendo http://apt.sw.be/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.x86_64.r pm - transferencia fallida - Error inesperado o desconocido advertencia: u 0x8ba3c40 ctrl 0x92f95d8 nrefs != 0 (apt.sw.be http) ando viendo que es El 11/10/2011 11:35, César Martinez escribió: Aqui otro link http://www.cyberciti.biz/faq/rhel-linux-block-ssh-dictionary-brute-force-attacks/ Cordialmente Ing. César Martínez SERVICOM User Linux 494131 Oficina 02-2554-271 02-2221-386 Móvil 09-9374-317 Email Msn cmarti...@servicomecuador.com Skype servicomecuador Pin BlackBerry 21DB3490 Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador.com Facebook: http://www.facebook.com/servicomecuador.com Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.blogspot.com/ Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Quito - Ecuador - Sudamérica = Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. = On 11/10/11 11:20, Jose Sabastizagal wrote: Un enlace para configurar Denyhost: http://www.ecualug.org/2007/jun/26/blog/juank6_66/c_mo_prevenir_ataques_de_diccionario_o_fuerza_bruta_contra_ssh Lo configuras para que te permita una cantidad limitada de intentos de acceso via ssh, si excedes el limite de intentos envía la IP al hosts.deny, también puedes indicar que IP son de confianza para permitir una cantidad mayor de intentos, te puede enviar un correo indicando que se ha bloqueado alguna IP Saludos, ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos!!! Jesus Alonso Rivas Sistemas _ Evangelización Activa Comunicación Digital al Servicio del Evangelio www.evangelizacion.org.mx ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Intento de Hackeo
Hola, Otro tema importante es cambiar el puerto de acceso, para que no sea el 22. Y si te es posible via iptables puedes indicar que ips pueden acceder via ssh. saludos, El 11/10/2011 19:25, Jesús Rivas je...@evangelizacion.org.mx escribió: Muchas gracias a todos me sirvio esta liga http://azimyasin.wordpress.com/2008/05/09/installing-denyhosts-on-centos/ exactamente como esta pues tengo python 2.3 y 2.4 Saludos El 11/10/2011 11:40, Jesús Rivas escribió: Gracias de hecho esta es la primera que me dio google, solo que me dio problemas Recuperando http://apt.sw.be/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm error: omitiendo http://apt.sw.be/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.x86_64.r pm - transferencia fallida - Error inesperado o desconocido advertencia: u 0x8ba3c40 ctrl 0x92f95d8 nrefs != 0 (apt.sw.be http) ando viendo que es El 11/10/2011 11:35, César Martinez escribió: Aqui otro link http://www.cyberciti.biz/faq/rhel-linux-block-ssh-dictionary-brute-force-attacks/ Cordialmente Ing. César Martínez SERVICOM User Linux 494131 Oficina 02-2554-271 02-2221-386 Móvil 09-9374-317 Email Msn cmarti...@servicomecuador.com Skype servicomecuador Pin BlackBerry 21DB3490 Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador.com Facebook: http://www.facebook.com/servicomecuador.com Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.blogspot.com/ Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Quito - Ecuador - Sudamérica = Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. = On 11/10/11 11:20, Jose Sabastizagal wrote: Un enlace para configurar Denyhost: http://www.ecualug.org/2007/jun/26/blog/juank6_66/c_mo_prevenir_ataques_de_diccionario_o_fuerza_bruta_contra_ssh Lo configuras para que te permita una cantidad limitada de intentos de acceso via ssh, si excedes el limite de intentos envía la IP al hosts.deny, también puedes indicar que IP son de confianza para permitir una cantidad mayor de intentos, te puede enviar un correo indicando que se ha bloqueado alguna IP Saludos, ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos!!! Jesus Alonso Rivas Sistemas _ Evangelización Activa Comunicación Digital al Servicio del Evangelio www.evangelizacion.org.mx ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
