Esto debe ser algún tipo de aplicación (gusano o algo así) que lanza este
tipo de tentativas contra servidores, (imagino) que al detectar el servicio
sshd arrancado.
Mi duda es, ¿se puede hacer algo con las IPs de los supuestos atacantes? a
algo me refiero saber de donde proceden, que compañía ISP usan ... obtener
algún tipo de información (no quiero lanzar ningún ataque de vuelta ni nada
por el estilo).
¿En mi servidor puedo negar cualquier intento de acceso de esta IP?
- Original Message -
From: Miguel Da Silva [EMAIL PROTECTED]
To: debian-user-spanish@lists.debian.org
Sent: Monday, April 24, 2006 7:37 PM
Subject: Re: Tentativas de ataque por SSH - /var/log/auth.log
On Mon, 24 Apr 2006 18:20:05 +0200
Inigo Tejedor Arrondo [EMAIL PROTECTED] wrote:
El lun, 24-04-2006 a las 11:35 -0300, Miguel Da Silva escribió:
Señores, veo las siguientes entradas en mi /var/log/auth.log (ya sea en
la computadora de mi casa o en las computadoras de mis trabajos):
Apr 10 17:12:19 peligro sshd[31988]: Invalid user http from
61.220.36.148
Apr 10 17:12:23 peligro sshd[31990]: Invalid user httpd from
61.220.36.148
Apr 10 17:12:27 peligro sshd[31992]: User nobody from
61-220-36-148.hinet-ip.hinet.net not allowed because not listed in
AllowUsers
Apr 10 17:12:31 peligro sshd[31994]: User root from
61-220-36-148.hinet-ip.hinet.net not allowed because not listed in
AllowUsers
Apr 10 17:12:35 peligro sshd[31996]: Invalid user backup from
61.220.36.148
Apr 10 17:12:39 peligro sshd[31998]: Invalid user info from
61.220.36.148
Apr 10 17:12:44 peligro sshd[32000]: Invalid user shop from
61.220.36.148
Apr 10 17:12:48 peligro sshd[32002]: Invalid user sales from
61.220.36.148
Me imagino que no fue posible entrar a las computadoras (el todas las
computadoras que miré los mensajes eran muy similares y los cambios que
habian eran de nombre de la máquina solamente), pero mi llama la
atención la linea que dice la conexión como root no fue posible porque
el usuario no está listando en AllowUsers.
Eso quiere decir simplemente que no se pudo conectar porque no se sabía
la contraseña o porque el root tiene deshabilitado la conexión por SSH?
En todas las máquinas la conexión por SSH como está deshabilitada y en
la cláusula AllowUsers solo tengo mi usuario (aunque hayan otros en la
computadora).
Si traduces literalmente la frase en cualquier traductor online, lo
comprenderás, te está diciendo eso, que el usuario root no está
permitido, porque no aparece en la directiva AlloUsers (lo cual también
quiere decir que tienes PermitRootLogin no)
Saludos
Espero que esté clara mi pregunta.
Saludos.
Muchas gracias por tu buena volutand, pero creo que no entendiste el
problema que tengo. La traducción al español/portugués/árabe no es
problema para mi, pero sí es problema lo siguiente: los usuarios, por
ejemplo, info y sales no existen en mi sistema, por lo tanto tengo la
frase Invalid user Pero sin embargo, el comportamiento para root es
distinto.
Estube haciendo algunas pruebas con una máquina y ya estoy más tranquilo
porque veo que una vez que sea usada la cláusula AllowUsers, cualquier
usuario que se intente conectar y NO esté en la lista de los permitidos
provocará la aparición de una linea semejante como la que sigue:
Apr 24 15:33:45 localhost sshd[8345]: User administrador not allowed
because not listed in AllowUsers
Lo que clarificó un poco la situación fue el hecho de probar la conexión
con la contraseña verdadera y con una contraseña equivocada, pues ese era
mi miedo; que hubieron encontrado la contraseña de root, pero no pudieron
ingresar a la máquina porque estaba configurada como PermitRootLogin no.
Gracias nuevamente.
--
Miguel Da Silva.
Servicio de Informatica.
Facultad de Ciencias.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
