subject:"RE\: Intento de intrusión"

El Lunes, 10 de Abril de 2006 20:54, Iñaki escribió:
> Esto es sencillamente genial, lo acabo de probar y funciona perfectamente,
> qué maravilla. Ahora mismo sólo permito que 2 usuarios entren por SSH, es
> perfecto.

Pues mira por donde, acabo de descubrir una herramienta para evitar intentos 
de accesos.

Se llama denyhosts, y está en los repositorios de debian.

aptitude search denyhosts
i   denyhosts - an utility to help sys 
admins thwart ssh hackers
i A denyhosts-common  - an utility to help sys 
admins thwart ssh hackers
i A denyhosts-python2.3   - an utility to help sys 
admins thwart ssh hackers
p   denyhosts-python2.4   

Se ejecuta en demonio, y lo que hace es analizar el log /var/log/auth.log, y 
si detecta alguna ip que intenta acceder por ssh la bloquea colocándola en el 
archivo /etc/hosts.deny

Se puede configurar de modo muy fácil. Le puedes decir que te mande un mail, 
el tiempo de bloqueo, etc.

Acabo de instalarlo y lo voy a probar. Mirar a ver si os gusta.


-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgp0gQEO8Q2tB.pgp
Description: PGP signature

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 20:40, Iñigo Tejedor Arrondo escribió:
> El lun, 10-04-2006 a las 10:56 -0300, Juan Pablo escribió:
> > -BEGIN PGP SIGNED MESSAGE-
> > Hash: SHA1
> >
> > Iñaki wrote:
> > > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka!
> > >
> > > escribió:
> > >> Iñaki wrote:
>
> -que se puede integrar con /etc/loginusers...
>
> You can also restrict access to the ssh server using pam_listfile or
> pam_wheel in the PAM control file. For example, you could keep anyone
> not listed in /etc/loginusers away by adding this line
> to /etc/pam.d/ssh:
>
> auth   required pam_listfile.so sense=allow onerr=fail item=user
> file=/etc/loginusers

Esto es sencillamente genial, lo acabo de probar y funciona perfectamente, qué 
maravilla. Ahora mismo sólo permito que 2 usuarios entren por SSH, es 
perfecto.

Muchas gracias.


-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

2006-04-10 Por tema Iñigo Tejedor Arrondo

El lun, 10-04-2006 a las 10:56 -0300, Juan Pablo escribió:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> Iñaki wrote:
> 
> > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka!
> > escribió:
> >
> >> Iñaki wrote:
> >>

Al hilo de todos los buenos consejos que se han dado, acudí a la
documentación oficial. Solo añadir (por suerte de la mayoria de esto se
encarga debconf): 

-que se debería deshabilitar el protocólo ssh1 si no se utiliza
-que se puede definir la interfaz a la escucha si hay varias
-chequear que no permita contraseñas vacias (PermitEmptyPasswords no)
-que se puede definir el host desde el que se tiene acceso (AllowUsers
foo ref [EMAIL PROTECTED])
-que también se pueden definir grupos (AllowGroups foo)
-que se puede integrar con /etc/loginusers...

You can also restrict access to the ssh server using pam_listfile or
pam_wheel in the PAM control file. For example, you could keep anyone
not listed in /etc/loginusers away by adding this line
to /etc/pam.d/ssh:

auth   required pam_listfile.so sense=allow onerr=fail item=user 
file=/etc/loginusers

También dice que se puede deshabilitar la transferencias de ficheros si
no se necesitan (sftp y scp) y dice como poner ssh en chroot.

¿quien lo dice?:
http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s5.1
y
http://www.debian.org/doc/manuals/reference/ch-tune.es.html#s-ssh

Saludos y gracias por el hilo tan instructivo.

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Juan Pablo

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Iñaki wrote:

> El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka!
> escribió:
>
>> Iñaki wrote:
>>
>>> Y ya puestos comento que a mí también me están intentando
>>> entrar mediante un script cada 3 segundos con curiosos nombres
>>> como "harrypotter" y demás. La IP es la siguiente: 66.226.74.83
>>>
HEY!
Pero no te preocupes tanto, esto pasa constantemente!
Que te traten de hacer un bruteforce es normal, y si tenés un apache,
mira los logs que también vas a encontrar miles de pedidos de archivos
de sistema y otras cositas.

Yo lo que hago es filtrar las ip de esta gente y listo.

Tenés scripts y programas (busca con google "ssh bruteforce") que
automáticamente detectan este tipo de cosas y bloquean los ip o toman
alguna medida al respecto.

Cambiar de puerto el ssh es una buena idea, pero solo eso no basta,
trata de usar claves complejas.


Saludos, Juan Pablo.

>> Cuentanos algo mas de los intentos.
>
>
>
> Cambié el puerto y ya acabaron los intentos, pero pego una porción
> de los logs:
>
>
> pr 9 16:52:51 aliax sshd[19531]: Failed password for invalid user
> adm from 210.3.10.51 port 49259 ssh2 Apr 9 16:52:57 aliax
> sshd[19557]: Failed password for invalid user amd from 210.3.10.51
> port 49922 ssh2 Apr 9 16:53:03 aliax sshd[19591]: Failed password
> for invalid user clan from 210.3.10.51 port 50490 ssh2 Apr 9
> 16:53:12 aliax sshd[19605]: Failed password for invalid user clans
> from 210.3.10.51 port 51063 ssh2 Apr 9 16:53:21 aliax sshd[19658]:
> Failed password for invalid user hawaii from 210.3.10.51 port 52085
> ssh2 Apr 9 16:53:27 aliax sshd[19680]: Failed password for invalid
> user educational from 210.3.10.51 port 53026 ssh2 Apr 9 16:53:33
> aliax sshd[19702]: Failed password for invalid user benq from
> 210.3.10.51 port 53605 ssh2 Apr 9 16:53:39 aliax sshd[19723]:
> Failed password for invalid user httpd from 210.3.10.51 port 54144
> ssh2 Apr 9 16:53:44 aliax sshd[19748]: Failed password for invalid
> user httpd from 210.3.10.51 port 54669 ssh2 Apr 9 16:53:50 aliax
> sshd[19769]: Failed password for invalid user httpd from
> 210.3.10.51 port 55326 ssh2
>
>
>
>

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Debian - http://enigmail.mozdev.org

iD8DBQFEOmQEw4NCNOGjRMERAooGAKDVUS3bgspFpj/f5C0GPXM711aB9QCfZ5r3
PR7ivtMJifXns1HNknmIJYI=
=7vou
-END PGP SIGNATURE-

__
Correo Yahoo!
Espacio para todos tus mensajes, antivirus y antispam �gratis! 
�Abr� tu cuenta ya! - http://correo.yahoo.com.ar


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Joaquín Prieto


Muammar Wadih El Khatib Rodriguez escribió:

Hola, soy quien envío el correo original. Muchas gracias por todas las
recomendaciones. He aprendido mucho con todo esto. Yo desactive el
acceso root por ssh, pero ahora el tipo este de china esta haciendo
fuerza bruta para nombres de usuarios en específico. Creo que tienen
razón, bloquear ip's no tiene mucho sentido porque son dinámicas en la
mayoría de los casos. La persona que trata de meterse a mi sistema usa
red hat 9.0  y tiene los puertos 21 23 25 80 110 111 443 abiertos.
Este número de puertos se corresponde para cada una de estas
"distintas" ip's de donde tratan de meterse, al igual que la distro
que usa (red hat), a mi sistema (es decir, es el mismo tipo, o por lo
menos eso creo). Y si es verdad, esa persona no tiene nada de
seguridad en su computador, tiene el telnet, el ssh con acceso para
root entre otras vulnerabilidades. Es cierto una buena defenza en
ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que
me hace, cada cosa se la devuelvo.

Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos
links que enviaron.



--
Muammar El Khatib.
Linux user: 403107.


  
Hola, no creo que debas atacar a la IP que te está haciendo el ataque 
porque estas cosas no funcionan así, o por lo menos mi experiencia, en 
lo que yo he conocido. Lo que suelen hacer los que se dedican a entrar 
en ordenadores ajenos suele ser encontrar un ordenador vulnerable, 
entrar, cargarle algunos scripts (scanners y demás) despues parchear el 
fallo por el cual han conseguido pasar y dejar los script funcionando 
con una puerta de atrás abierta y así se quedan funcionando de manera 
autonoma y el que se coló solo tiene que entrar regularmente desde 
Finlandia, Andorra o el sitio donde viva el tipo en cuestión para ver lo 
que ha cazado sin apenas riesgos de ser pillado y tu lo que recibes es 
una IP china atacandote en el caso de que te des cuenta.


Quizá me equivoque, pero si tiene una web y una IP fija es posible que 
sea de una empresa china (o japonesa o lo que sea) y que el tipo en 
cuestión que te está atacando se aprovechara de algún fallo de seguridad 
o cualquier otra cosa. Aunque también puede ser la opción mas sencilla y 
que realmente haya alguien atacando directamente desde esa IP, pero me 
parece un poco suicida para alguien que sepa mínimamente algo sobre 
seguridad y esas cosas. En cualquier caso yo descartaría el "ojo por ojo".




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Guimi

- Original Message - 
From: "Chapu"


> Todo muy bonito... pero lo mas sencillo es antes de irte de vacaciones
> cambia tu querida password por otra temporal... a medida que vas
> visitando los cybers vas cambiando cada tanto.. cuando el logger de Lima
> se apiole ya la habras vuelto a cambiar por otra temporal en Cuzco y
> asi sucesivamente...  cuando vuelvas a españa volves a tu password
> querida y original.. la clave es ir cambiandola cada tanto... asi los
> loggers siempre estan desactualizados...
>
> saludos
>

Cuando hablo de usar contraseñas fuertes, una de las cosas que implico es 
cambiarla al
menos una vez cada 10 años ;-)

Saludos
Guimi
http://www.guimi.net


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Chapu


Blu escribió:


El problema de las contraseñas es que por muy buenas que sean, en un ciber
no te salvas de un keylogger. Lo mas seguro es usar clave publica con
frase de paso. Asi un adversario tiene que tener la clave privada mas la
frase de paso. Si te roban la clave, les va a faltar la frase de paso (que
esta en tu cabeza). Si te logean la frase de paso, les va a faltar la
clave.  Ahora, si tecleas la frase de paso y luego te dejas olvidado el
pendrive con la clave, cooperaste.



Todo muy bonito... pero lo mas sencillo es antes de irte de vacaciones 
cambia tu querida password por otra temporal... a medida que vas 
visitando los cybers vas cambiando cada tanto.. cuando el logger de Lima 
se apiole ya la habras vuelto a cambiar por otra temporal en Cuzco y 
asi sucesivamente...  cuando vuelvas a españa volves a tu password 
querida y original.. la clave es ir cambiandola cada tanto... asi los 
loggers siempre estan desactualizados...


saludos


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Blu

On Mon, Apr 10, 2006 at 04:59:22PM +0200, Guimi wrote:
> >- Original Message - 
> >From: "Ricardo Frydman Eureka!"
> >Guimi wrote:
> >> Siempre he visto un problema a este sistema. Y es que debes autorizar a 
> >> cada cliente.
> >> Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo 
> >> desde
> cualquiera.
> >> Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de 
> >> cada
> cibercafe
> >> entren en mi equipo sin pedir clave.
> >
> >Me estas diciendo que te conectas por ssh desde un cibercafe?!?!?!?
> 
> Alguna vez sí.
> 
> >Sabes lo inseguro que es usar ese tipo de informacion en ese tipo de
> >lugares?!?!?!
> 
> Creo que no son muy seguros pero tampoco soy paranoico.
> 
> >> ¿A alguien se le ocurre una alternativa mejor?
> >
> >A que? Que es concretamente lo que necesitas hacer?
> >Entrar a algun host desde un ciber? Definitivamente no lo conozco y
> >nunca haria algo asi!
> 
> Un ejemplo. El año pasado estuve de vacaciones en Perú. Yo soy de España. 
> Estando en Lima,
> necesité conectar a un equipo en España.
> ¿Qué opciones tengo?
> telnet+ftp descartado, por supuesto --> uso ssh
> (¿alguna otra opción para abrir una conexión y transferir ficheros?)
> 
> Con ssh podría usar un sistema de claves publicas/privadas, lo que me obliga 
> a llevar mi
> clave en una memoria flash, que puedo perder / olvidar o símplemente no tener 
> disponible
> estando de vacaciones (y no voy a volver a España a por ella ;-)
> Otra opción es usar símplemente contraseña, lo que hace muy necesario no 
> permitir acceso a
> root y tener contraseñas fuertes.

El problema de las contraseñas es que por muy buenas que sean, en un ciber
no te salvas de un keylogger. Lo mas seguro es usar clave publica con
frase de paso. Asi un adversario tiene que tener la clave privada mas la
frase de paso. Si te roban la clave, les va a faltar la frase de paso (que
esta en tu cabeza). Si te logean la frase de paso, les va a faltar la
clave.  Ahora, si tecleas la frase de paso y luego te dejas olvidado el
pendrive con la clave, cooperaste.

Blu.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Guimi

>- Original Message - 
>From: "Ricardo Frydman Eureka!"
>Guimi wrote:
>> Siempre he visto un problema a este sistema. Y es que debes autorizar a cada 
>> cliente.
>> Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo desde
cualquiera.
>> Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de 
>> cada
cibercafe
>> entren en mi equipo sin pedir clave.
>
>Me estas diciendo que te conectas por ssh desde un cibercafe?!?!?!?

Alguna vez sí.

>Sabes lo inseguro que es usar ese tipo de informacion en ese tipo de
>lugares?!?!?!

Creo que no son muy seguros pero tampoco soy paranoico.

>> ¿A alguien se le ocurre una alternativa mejor?
>
>A que? Que es concretamente lo que necesitas hacer?
>Entrar a algun host desde un ciber? Definitivamente no lo conozco y
>nunca haria algo asi!

Un ejemplo. El año pasado estuve de vacaciones en Perú. Yo soy de España. 
Estando en Lima,
necesité conectar a un equipo en España.
¿Qué opciones tengo?
telnet+ftp descartado, por supuesto --> uso ssh
(¿alguna otra opción para abrir una conexión y transferir ficheros?)

Con ssh podría usar un sistema de claves publicas/privadas, lo que me obliga a 
llevar mi
clave en una memoria flash, que puedo perder / olvidar o símplemente no tener 
disponible
estando de vacaciones (y no voy a volver a España a por ella ;-)
Otra opción es usar símplemente contraseña, lo que hace muy necesario no 
permitir acceso a
root y tener contraseñas fuertes.

Y aquí vuelvo a preguntar
¿A alguien se le ocurre una alternativa mejor? (además de no conectarme y 
disfrutar mis
vacaciones como debería :-)

Saludos
Guimi
http://www.guimi.net

-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 15:31, Ricardo Frydman Eureka! escribió:
> Iñaki wrote:
> > Es que nunca he pensado que mis claves de usuarios fuesen vulnerables  
> > ;)
>
> Sabes cuantas veces oi eso de labios de clientes con "visitas"?

Los únicos usuarios de mi ordenador soy yo mismo y 2 más que no sabían ni 
cambiar sus contraseñas y poner unas mucho más inseguras. Y están 
terriblemente avisadso de que NUNCA deben usar esa misma contraseña en ningún 
otro sitio, sólo cuando se loguean en el KDM.

> La peor política de seguridad es la "sensacion" de estar seguro!

Eso "seguro"  ;)

-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Iñaki wrote:

> Es que nunca he pensado que mis claves de usuarios fuesen vulnerables   ;)

Sabes cuantas veces oi eso de labios de clientes con "visitas"?

La peor política de seguridad es la "sensacion" de estar seguro!

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOl4/kw12RhFuGy4RAm7GAJ93vTqaKeA+YgF89lGeZGJuyr+tgwCbBoha
OFevEN8HBBIYwQXrYz50+pw=
=8VnF
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 15:22, Ricardo Frydman Eureka! escribió:
> Iñaki wrote:
> > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
> >>Iñaki wrote:
> >>>Y ya puestos comento que a mí también me están intentando entrar
> >>> mediante un script cada 3 segundos con curiosos nombres como
> >>> "harrypotter" y demás. La IP es la siguiente:
> >>>  66.226.74.83
> >>
> >>Cuentanos algo mas de los intentos.
> >
> > Cambié el puerto y ya acabaron los intentos, pero pego una porción de los
> > logs:
>
> Perdon! Nunca imagine que tenias el ssh en 22, a pesar de haberse
> discutido este tema varias veces en la lista
> Te recomiendo releer los pasos que le di al compañero y te insto a
> usarlos...


Es que nunca he pensado que mis claves de usuarios fuesen vulnerables   ;)




-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Iñaki wrote:
> El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
> 
>>Iñaki wrote:
>>
>>>Y ya puestos comento que a mí también me están intentando entrar mediante
>>>un script cada 3 segundos con curiosos nombres como "harrypotter" y
>>>demás. La IP es la siguiente:
>>>  66.226.74.83
>>
>>Cuentanos algo mas de los intentos.
> 
> 
> 
> Cambié el puerto y ya acabaron los intentos, pero pego una porción de los 
> logs:
> 
Perdon! Nunca imagine que tenias el ssh en 22, a pesar de haberse
discutido este tema varias veces en la lista
Te recomiendo releer los pasos que le di al compañero y te insto a
usarlos...


> 
> pr  9 16:52:51 aliax sshd[19531]: Failed password for invalid user adm from 
> 210.3.10.51 port 49259 ssh2
> Apr  9 16:52:57 aliax sshd[19557]: Failed password for invalid user amd from 
> 210.3.10.51 port 49922 ssh2
> Apr  9 16:53:03 aliax sshd[19591]: Failed password for invalid user clan from 
> 210.3.10.51 port 50490 ssh2
> Apr  9 16:53:12 aliax sshd[19605]: Failed password for invalid user clans 
> from 
> 210.3.10.51 port 51063 ssh2
> Apr  9 16:53:21 aliax sshd[19658]: Failed password for invalid user hawaii 
> from 210.3.10.51 port 52085 ssh2
> Apr  9 16:53:27 aliax sshd[19680]: Failed password for invalid user 
> educational from 210.3.10.51 port 53026 ssh2
> Apr  9 16:53:33 aliax sshd[19702]: Failed password for invalid user benq from 
> 210.3.10.51 port 53605 ssh2
> Apr  9 16:53:39 aliax sshd[19723]: Failed password for invalid user httpd 
> from 
> 210.3.10.51 port 54144 ssh2
> Apr  9 16:53:44 aliax sshd[19748]: Failed password for invalid user httpd 
> from 
> 210.3.10.51 port 54669 ssh2
> Apr  9 16:53:50 aliax sshd[19769]: Failed password for invalid user httpd 
> from 
> 210.3.10.51 port 55326 ssh2
> 
> 
> 
> 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlwDkw12RhFuGy4RAhS0AJ946hqH4WRZ5xfvnaE3iJtcmHaOHgCdH0NR
KpUydKiJiZ9wl8TiRgWzC/c=
=vo36
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 15:15, Ricardo Frydman Eureka! escribió:
> La pregunta no fue para ti.

La mia si.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpmYfwYmWBTu.pgp
Description: PGP signature

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pablo Braulio wrote:
> El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
> 
>>Cuentanos algo mas de los intentos.
> 
> 
> ¿Porque no revisas los archivos de la lista?. Este hilo viene desde el sábado 
> y se ha hablado bastante sobre esto.
La pregunta no fue para ti.


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlp9kw12RhFuGy4RAk8iAKCTeKJ02kH/wWULdt1vqngjzKlJ3ACfUEo2
UwyHZmJm9Rd+inV+4Qv803A=
=R38N
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
> Iñaki wrote:
> > Y ya puestos comento que a mí también me están intentando entrar mediante
> > un script cada 3 segundos con curiosos nombres como "harrypotter" y
> > demás. La IP es la siguiente:
> >   66.226.74.83
>
> Cuentanos algo mas de los intentos.


Cambié el puerto y ya acabaron los intentos, pero pego una porción de los 
logs:


pr  9 16:52:51 aliax sshd[19531]: Failed password for invalid user adm from 
210.3.10.51 port 49259 ssh2
Apr  9 16:52:57 aliax sshd[19557]: Failed password for invalid user amd from 
210.3.10.51 port 49922 ssh2
Apr  9 16:53:03 aliax sshd[19591]: Failed password for invalid user clan from 
210.3.10.51 port 50490 ssh2
Apr  9 16:53:12 aliax sshd[19605]: Failed password for invalid user clans from 
210.3.10.51 port 51063 ssh2
Apr  9 16:53:21 aliax sshd[19658]: Failed password for invalid user hawaii 
from 210.3.10.51 port 52085 ssh2
Apr  9 16:53:27 aliax sshd[19680]: Failed password for invalid user 
educational from 210.3.10.51 port 53026 ssh2
Apr  9 16:53:33 aliax sshd[19702]: Failed password for invalid user benq from 
210.3.10.51 port 53605 ssh2
Apr  9 16:53:39 aliax sshd[19723]: Failed password for invalid user httpd from 
210.3.10.51 port 54144 ssh2
Apr  9 16:53:44 aliax sshd[19748]: Failed password for invalid user httpd from 
210.3.10.51 port 54669 ssh2
Apr  9 16:53:50 aliax sshd[19769]: Failed password for invalid user httpd from 
210.3.10.51 port 55326 ssh2




-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Guimi wrote:
> - Original Message - 
> From: "Ramiro Aceves"
> 
> (...)
> 
>>>RSAAuthentication yes
>>>PubkeyAuthentication yes
>>>AuthorizedKeysFile  %h/.ssh/authorized_keys
>>>
>>>PasswordAuthentication no (para deshabilitar el logeo con password)
>>
> (...)
> 
>>>Para deshabilitar el logeo de los clientes por medio de una contraseña, debes
>>>crear una clave en cada cliente que accede al servidor y luego copiarla en
>>>este.
> 
> 
> Siempre he visto un problema a este sistema. Y es que debes autorizar a cada 
> cliente.
> Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo desde 
> cualquiera.
> Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de 
> cada cibercafe
> entren en mi equipo sin pedir clave.

Me estas diciendo que te conectas por ssh desde un cibercafe?!?!?!?

> Una alternativa sería llevar una clave en una memoria flash e ir instalándola 
> y
> desinstalandola, pero creo que al final es mejor que el servidor ssh me 
> solicite una clave
> y que ésta sea fuerte (a parte de no permitir login de root).

Sabes lo inseguro que es usar ese tipo de informacion en ese tipo de
lugares?!?!?!

> 
> ¿A alguien se le ocurre una alternativa mejor?

A que? Que es concretamente lo que necesitas hacer?
Entrar a algun host desde un ciber? Definitivamente no lo conozco y
nunca haria algo asi!


> 
> Saludos
> Guimi
> http://www.guimi.net
> 
> 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOld6kw12RhFuGy4RArezAJ9uUiFTkSHMiUcFU+z//0ItSNS8aQCdHRsC
l95I/hXvQfFcmP/kBawt2RQ=
=qHCL
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 14:55, Ricardo Frydman Eureka! escribió:
> El archivo en el cual debes colocar las llaves publicas es
> $HOME/ssh/.authorized_keys o el que definas en su reemplazo en
> /etc/ssh/sshd_config bajo la directiva AuthorizedKeysFile.

Es verdad, me he colado.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpIgAIjx1GvZ.pgp
Description: PGP signature

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

m wrote:
>> precisos  de tiempo (2 segundos para cada intervalo), el número de
>> intentos es alrededor de 80. Y para el usuario que uso yo comunmente
> 
> 
>  Hay una manera de usar iptables para que ese IP que trata mas de X
> veces sea bloqueado por X segundos, si alguien sabe de algún tutorial
> que explique eso claramente, que nos de el enlace por favor. Gracias. Chao.
> 
> 
Como ya se ha dicho, eso no tiene sentido. Solo le resta reiniciar su
coenxion, tomar nueva IP y seguir molestando

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlXlkw12RhFuGy4RAvveAJ45E0yyhHdUgWBZokwAA8oSW+haeACfW5Zw
lD3G+52ip+zjhIZg9xeNZ8o=
=ude2
-END PGP SIGNATURE-

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pablo Braulio wrote:
> El Domingo, 9 de Abril de 2006 18:17, Iñaki escribió:
> 
>>Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería
>>añadir que para el tema de exportar la clave se puede usar el
>>comando "ssh-copy-id" que te evita andar copiando de un sitio a otro y
>>demás, alguna vez lo he usado y te ahorra tiempo.
>>
> 
> 
> Mira que bien. No lo conocía. Yo para esto usaba scp o sftp y luego con un 
> cat 
> archivo >> .ssh/know_hosts, lo añadía.

Revisa tus apuntes, me parece que estas confundiendo archivos.
$HOME/.ssh/known_hosts es un archivo que contiene las claves, ip y demas
datos de los hosts conocidos del sistema a los cuales ya nos hemos
conectado anteriormente.
El archivo en el cual debes colocar las llaves publicas es
$HOME/ssh/.authorized_keys o el que definas en su reemplazo en
/etc/ssh/sshd_config bajo la directiva AuthorizedKeysFile.

>>Y ya puestos comento que a mí también me están intentando entrar mediante
>>un script cada 3 segundos con curiosos nombres como "harrypotter" y demás.
>>La IP es la siguiente:
>>  66.226.74.83
>>
>>¿Alguien puede comprobar si le están intentando entrar desde esa IP?
> Lo he comprobado, como ya le dicho antes a Ramiro, y no tengo ningún log de 
> intentos.
> 
> Pese al comentario (de broma, claro) hecho antes de "ojo por ojo", lo mejor 
> es 
> prevenir que curar.

No parecio tan en broma. De hecho recomende /no/ hacerlo



- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlWpkw12RhFuGy4RAneXAJ42ZIvlBCmeHR6WTBq/TtijJhDFHACfdRJh
0w07ZHETBMoothNXDO0IF80=
=KITw
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
> Cuentanos algo mas de los intentos.

¿Porque no revisas los archivos de la lista?. Este hilo viene desde el sábado 
y se ha hablado bastante sobre esto.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpiZ6atSQ28B.pgp
Description: PGP signature

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Iñaki wrote:

> Y ya puestos comento que a mí también me están intentando entrar mediante un 
> script cada 3 segundos con curiosos nombres como "harrypotter" y demás. La IP 
> es la siguiente:
>   66.226.74.83

Cuentanos algo mas de los intentos.

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlRxkw12RhFuGy4RAjqQAJ9xB6YQTMKXKdpbIja1qKbyoj6iIwCglgbd
lw7OS7XAYZvxnuy3MAu12n4=
=gKes
-END PGP SIGNATURE-

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Ramiro Aceves wrote:
> Hola Pablo
> Voy a hacerte caso y cambiaré el puerto al XX. Claro que si este intruso
> hace un escaneo de puertos aparecerá ssh escuchando en XX y no
> adelantaré nada. ¿O se me escapa algo?
No. Al hacer escaneo de puertos, aparecera el servicio que el tenga
asociado a ese puerto, si es que tiene alguno, caso contrario aparecera
"unknown".
En todo caso, si desea fervientemente atacarte, hara un telnet tu_host
tu_puerto y alli se enterara que es ssh.
Pero si no tienes acceso por contraseña, ni ninguna vulnerabilidad,
tendra que trabajar realmente mucho para entrar.
Por cierto, salvo que seas el FBI o tengas la BBDD de Visa de todo el
planeta, dudo que alguien dedique 5 segundos a esto.
De hecho, los intetnso que registras en tus logs no son de "personas"
sino de gusanitos o programitas que se dedican a esosolo para
encontrar a desprevenidos.

>> Si creas la clave sin contraseña, podrás entrar directamente, y no es
>> un fallo de seguridad.

Hay gente que opina que si lo es, que aun asi, debieras poner contraseña
para las llaves y tiene su logica.
Claro que hablamos de servidores en los cuales la seguridad es algo
realmente serio.
>> Con todo esto lo que haces e ocultar tu servicio ssh al exterior y
>> evitar que cualquiera pueda estar probando usuarios y contraseñas, que
>> es lo que te está ocurriendo.

En realidad no lo ocultas, pues sigue estando a la vista de todos. Solo
se lo haces mas dificil a los gusanejos.

> Respecto a la necesitdad del firewall, me dí cuenta de ello en el
> momento que estaba observando el ataque. El servidor ssh está en la
> Universidad y estoy entrando desde mi casa. Al hacer cat
> /var/log/auth.log aparecían todos los intentos logeados de adivinar la
> clave. En ese momento me acordé del único firewall que uso en mi casa:
> Firestarter, pero claro, es en modo gráfico. 

Firestarter, es un front end grafico que finalmente te
configuraiptables!

>Como no es plan de
> habilitar las conexiones X con el servidor ssh y añadir más
> inseguridades, creo que ha llegado la hora de aprender iptables a pedal.
> En ese momento quería inhabilitar los paquetes procedentes de esa IP y
> fastidiar al hombre este pero claro, no tengo ni idea. 

# route add reject ip_molesta
pero con eso solo logras hacerlo momentanemante, esa gente, por lo gral,
usa ip dinamicas.

> Si deshabilito
> ssh me cierro a mí mismo la posibilidad de entrar hasta el lunes que
> vaya por allí y encienda de nuevo la máquina. Me conecté a la IP con un
> navegador y era una WEB en chino. ¿Hay alguna manera de echar a este
> hombre sin iptables. 

Arriba te mande una.

> Me dió miedo matar alguno de los procesos de sshd,
> no fuera a ser que me fastidiase a mi mismo.

juaz!

Suicidio virtual!

>> Por último, como dijo nosequien, la mejor defensa es un buen ataque.
>> Usa nmap para ver los puertos de este individuo y podrás ver que tiene
>> ssh abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías
>> hacer lo mismo que él esta haciendo.

Eso si que es inutil!
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlQGkw12RhFuGy4RAk/DAJ9dvOYifGsBwtRGI+d3/flBdNKdmgCfX4cs
o1IckuVL1igZh0xXXd95cio=
=VrDv
-END PGP SIGNATURE-

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Ramiro Aceves wrote:
> Pablo Braulio wrote:
> 
>>> Yo tambien me cuelgo del ofrecimiento, lo agradecere enormemente.
>>
>>
>>
>> Ya puestos, a mi también me vendría bien tenerlo en pdf.
>>
>> ¿Porque no lo cuelgas en algún sitio y nos pasas la url?.
> 
> 
> Hola,
> 
> Yo también me apunto, a mí también me están intentando entrar por ssh y
> voy a ponerles una regla en iptables. Creo que llegó la hora de
> aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-)

De este tema se hablo hace un tiempo.
Aprender iptables no esta anda mal, pero tampoco estaría mal aprender
sobre ssh y su configuración.
Relee los consejos que le dí al compañero.

Iptables no hace magia. Ejemplo: cierras todo. Tienes un apache. no
puedes filtrar el 80 para el apache.
Tienes configurado el apache en modo proxy y no tienes squid configurado
adecuadamenteallí no tienes iptables que te valga para evitar que te
usen el squid ;)

Cuidado con creer que los firewalls son toda la seguridad necesaria y
hacen magia!

> 
> Apr  9 12:19:48 localhost sshd[2614]: Illegal user ronald from
> :::211.18.254.236
> Apr  9 12:19:51 localhost sshd[2616]: Illegal user ronald from
> :::211.18.254.236
> Apr  9 12:19:53 localhost sshd[2619]: Illegal user ronald from
> :::211.18.254.236
> Apr  9 12:19:56 localhost sshd[2621]: Illegal user dujoey from
> :::211.18.254.236
> Apr  9 12:19:58 localhost sshd[2624]: Illegal user dujoey from
> :::211.18.254.236
> Apr  9 12:20:01 localhost sshd[2626]: Illegal user dujoey from
> :::211.18.254.236
> Apr  9 12:20:04 localhost sshd[2628]: Illegal user paul from
> :::211.18.254.236
> Apr  9 12:20:06 localhost sshd[2630]: Illegal user paul from
> :::211.18.254.236
> Apr  9 12:20:09 localhost sshd[2632]: Illegal user paul from
> :::211.18.254.236
> 
> Saludos.
> Ramiro.
> 
> 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlHFkw12RhFuGy4RAkPQAKCGY638AKT4UP6fwRMQU2gDmHLiJgCeJk3Q
Q2f8BMl0Ccs/6AzHKk3+Ov0=
=Sq9W
-END PGP SIGNATURE-

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Muammar Wadih El Khatib Rodriguez wrote:
> Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes
> de seguridad que provienen de una misma ip en china.  Hice un
> chkrootkit y no tengo nada fuera de lo normal, 

Espera, vamos por partes

Correr un chkrootkit con resultados positivos, no es garantia de nada
(recuerda que si alguien entro y tiene algo de sentido comun, una de las
primeras cosas que hara es evitar que lo detectes...)

> todo aparece como no
> infectado. Ahora lo que me preocupa es que me parece que desde esa
> dirección ip están tratando de sacarme el password del root, pues
> salen muchos logines fallidos para el root en intervalos muy cortos y
> precisos  de tiempo (2 segundos para cada intervalo), el número de
> intentos es alrededor de 80.

Configura tu servicio de ssh de la siguiente manera:

1) Deshabilita el acceso a root
2) Muevelo a otro puerto distinto del 22
3) Habilita el acceso /solo/ a los usuarios que desees permitir
4) Habilita el acceso por intercambio de llaves
5) Deshabilita el acceso por contraseña.

> Y para el usuario que uso yo comunmente
> el comando w no muestra información luego de esos intentos de
> intrusión.

El comando  w no hace exactamente eso...

> Hice un ls -alF  /home/usuario/.bash_history y los permisos andan
> bien. No se han creado en mi sistema usuarios que desconozca.

jejeje te repito: si tienes tu sistema vulnerable y alguien con cierta
habilidad te esta visitando, no dejara que lo sepas...verdad?

> 
> ¿Debería instalar algún firewall?

Creo que esa pregunta debieras habertela hecho /antes/ de conectar tu PC
al cyberespacio no crees?
De todas maneras, este es el tipico ejemplo que yo pongo a los que
recetan firewall para todo.

> o que opinión me pueden dar para no
> quedar vulnerable en frente de ataques o usuarios de ese tipo.

Ahi te di unas cuantas. Yo creo que ya tienes visitas indeseadas,
uniendo este correo tuyo con el de la "ip auotasignada", aunque no estoy
100% seguro ni tengo tantos elementos para afirmarlo.

El consejo general, en este y en cualquier otro caso /siempre/ es el
mismo: leer y comprender /antes/ de actuar!

> 
> 
> --
> Muammar El Khatib.
> Linux user: 403107.
> 
> 

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlARkw12RhFuGy4RApqfAJ9CfxcKcLGTOjU1S7DTTbSYtS2ttgCfdR9S
J+y5h9aWKA/v//axBzPtMPU=
=QXCi
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 10:10, Guimi escribió:
> Siempre he visto un problema a este sistema. Y es que debes autorizar a
> cada cliente. Yo voy a muchos lugares distintos y quiero poder conectarme a
> mi equipo desde cualquiera. Incluso cuando viajo. Y no puedo ponerme a
> autorizar a que los equipos de cada cibercafe entren en mi equipo sin pedir
> clave.
>
> Una alternativa sería llevar una clave en una memoria flash e ir
> instalándola y desinstalandola, pero creo que al final es mejor que el
> servidor ssh me solicite una clave y que ésta sea fuerte (a parte de no
> permitir login de root).
>
> ¿A alguien se le ocurre una alternativa mejor?

No todo es perfecto. Pero indiscutiblemente lo mas seguro es el uso de claves 
en lugar de contraseñas. 

La razón es muy simple: la clave es la que dispones, la contraseña es la que 
tu sabes. El problema es que con las contraseñas das opción a los intrusos a 
que "prueben", mientras que con la clave, primero te la tienen que robar.

Lo único que se me ocurre que puedes hacer es llevarla en una memoria y usarla 
al conectarte en otros equipos con putty, cygwin, etc. Con el consiguiente 
peligro que esto conlleva de pierdas la memoria, o te olvides la clave en 
algún equipo de un cibercafé.

Yo lo que te aconsejo es que uses la opción que mejor te vaya y que mayor 
seguridad te brinde. No es cuestión de poner tanta seguridad y no puedas 
entrar. ¿Te pondrías una megapuerta blindada en tu casa, con reconocimiento 
facial, de retina, tactil y diez cerraduras?. Pues lo mismo.

De todos modos, como ya he dicho en otro mensaje, puedes limitar el acceso 
sólo a ciertos usuarios e incluso ponerlos dentro de un chroot. Esto último 
había olvidado comentarlo.

-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpafSABVPyG2.pgp
Description: PGP signature

Re: Intento de intrusión

2006-04-10 Por tema Guimi

- Original Message - 
From: "Ramiro Aceves"

(...)
> > RSAAuthentication yes
> > PubkeyAuthentication yes
> > AuthorizedKeysFile  %h/.ssh/authorized_keys
> >
> > PasswordAuthentication no (para deshabilitar el logeo con password)
>
(...)
> > Para deshabilitar el logeo de los clientes por medio de una contraseña, 
> > debes
> > crear una clave en cada cliente que accede al servidor y luego copiarla en
> > este.

Siempre he visto un problema a este sistema. Y es que debes autorizar a cada 
cliente.
Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo desde 
cualquiera.
Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de cada 
cibercafe
entren en mi equipo sin pedir clave.

Una alternativa sería llevar una clave en una memoria flash e ir instalándola y
desinstalandola, pero creo que al final es mejor que el servidor ssh me 
solicite una clave
y que ésta sea fuerte (a parte de no permitir login de root).

¿A alguien se le ocurre una alternativa mejor?

Saludos
Guimi
http://www.guimi.net


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-09 Por tema JCV

El dom, 09-04-2006 a las 13:16 +0200, Pablo Braulio escribió:
> El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió:
> > Hola,
> >
> > Yo también me apunto, a mí también me están intentando entrar por ssh y
> > voy a ponerles una regla en iptables. Creo que llegó la hora de
> > aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-)
> >
> > Apr  9 12:19:48 localhost sshd[2614]: Illegal user ronald from
> >
> > :::211.18.254.236
> >
> > Apr  9 12:19:51 localhost sshd[2616]: Illegal user ronald from
> >
> > :::211.18.254.236
> >
> > Apr  9 12:19:53 localhost sshd[2619]: Illegal user ronald from
> >
> > :::211.18.254.236
> >
> > Apr  9 12:19:56 localhost sshd[2621]: Illegal user dujoey from
> >
> > :::211.18.254.236
> >
> > Apr  9 12:19:58 localhost sshd[2624]: Illegal user dujoey from
> >
> > :::211.18.254.236
> >
> > Apr  9 12:20:01 localhost sshd[2626]: Illegal user dujoey from
> >
> > :::211.18.254.236
> >
> > Apr  9 12:20:04 localhost sshd[2628]: Illegal user paul from
> >
> > :::211.18.254.236
> >
> > Apr  9 12:20:06 localhost sshd[2630]: Illegal user paul from
> >
> > :::211.18.254.236
> >
> > Apr  9 12:20:09 localhost sshd[2632]: Illegal user paul from
> >
> > :::211.18.254.236
> >
> > Saludos.
> > Ramiro.
> 
> 
> Hola Ramiro.
> 
> Aquí el consejo de sabios, je,je. Es broma. :-D
> 
> En mi opinión deberías hacer dos cosas:
> Asegurar ssh (como ya te han dicho)
> y configurar tu firewall para evitar escaneos, bloquear ips, etc.
> 
> Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor 
> ssh. Aquí tienes información:
> 
> http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/
> 
> Aunque si buscas en google verás que hay información sobre esto.
> 
> http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2005-09,GGGL:es&q=ssh+fuerza+bruta
> 
> Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por 
> defecto 
> 22), deshabilites el acceso a root y uses claves en lugar de password.
> 
> Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente:
> 
> Port XX (pones el puerto que quieras)
> 
> PermitRootLogin no (para evitar logeos de root)
> 
> RSAAuthentication yes
> PubkeyAuthentication yes
> AuthorizedKeysFile  %h/.ssh/authorized_keys
> 
> PasswordAuthentication no (para deshabilitar el logeo con password)
> 
> Creo que no me dejo nada.
> 
> Para deshabilitar el logeo de los clientes por medio de una contraseña, debes 
> crear una clave en cada cliente que accede al servidor y luego copiarla en 
> este.
> 
> Para eso haces en el cliente:
> 
> $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man)
> 
> Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar 
> el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts
> 
> Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al 
> equipo que tenga esa clave, sin permitir poner la contraseña a aquellos 
> equipos que no disponen de esta.
> 
> Si creas la clave sin contraseña, podrás entrar directamente, y no es un 
> fallo 
> de seguridad.
> 
> Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que 
> cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está 
> ocurriendo.
> 
> Respecto al firewall. Siempre es interesante, por no decir imprescindible, 
> usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para 
> bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre 
> otras cosas, claro.
> 
> Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar 
> intentos de acceso y luego crear la regla de iptables necesaria para bloquear 
> esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece 
> demasiado útil bloquear ips, pues estas en muchos casos son dinámicas.
> 
> Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap 
> para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y 
> curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él 
> esta haciendo.
> 
> Que  tengas suerte.
> 
> -- 
> Saludos.
> Pablo
> 
> Jabber: bruli(at)myjabber(to)net
> Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D

Hola,
Debo añadir (si no lo han dicho ya por que no he seguido todo el hilo...
solo he leído esta respuesta ya que ha sido muy reconocida) debo añadir
decía, por tanto... que se use FAIL2BAN para poder banear intentos de
conexiones maliciosas por fuerza bruta, esto es... al 3er intento por
ejemplo o al número de logueo equis, capar esa dirección ip durante 30
minutos, 30 días, 3 años o para siempre en cualquiera de los puertos de
nuestro ordenador. Y será muy dificil que con 4 intentos por ejemplo,
acierten una clave de seguridad media o alta. (Que nadie me ponga god,
zero_curl the_mentor o similares xD).

Esto nos es util tanto para ftp, como ssh

Re: Intento de intrusión (Manual Iptables PDF)


Iñaki wrote:


He colgado el manual de Iptables en formato PDF en la siguiente URL:

   http://www.euskalnet.net/ibc/Iptables.pdf




Muchas gracias Iñaki por colgar el manual. Es estupendo.

Saludos.

Ramiro.










--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión



No es molestía. Pero he de advertirte que esto no funciona usandolas tal cual. 
Son simplemente un complemento al script que te crees para tu firewall.


Hola Pablo,

Tomado nota de todo y reservado para posterior y detallado estudio ;-)

Muchas gracias.

Ramiro.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

El Domingo, 9 de Abril de 2006 19:15, Muammar Wadih El Khatib Rodriguez 
escribió:
> Hola, soy quien envío el correo original. Muchas gracias por todas las
> recomendaciones. He aprendido mucho con todo esto. Yo desactive el
> acceso root por ssh, pero ahora el tipo este de china esta haciendo
> fuerza bruta para nombres de usuarios en específico. Creo que tienen
> razón, bloquear ip's no tiene mucho sentido porque son dinámicas en la
> mayoría de los casos. La persona que trata de meterse a mi sistema usa
> red hat 9.0  y tiene los puertos 21 23 25 80 110 111 443 abiertos.
> Este número de puertos se corresponde para cada una de estas
> "distintas" ip's de donde tratan de meterse, al igual que la distro
> que usa (red hat), a mi sistema (es decir, es el mismo tipo, o por lo
> menos eso creo). Y si es verdad, esa persona no tiene nada de
> seguridad en su computador, tiene el telnet, el ssh con acceso para
> root entre otras vulnerabilidades. Es cierto una buena defenza en
> ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que
> me hace, cada cosa se la devuelvo.
>
> Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos
> links que enviaron.

Espero que no me acusen de listillo, pero creo que es de japon.

# whois 211.18.254.236
[ JPNIC database provides information regarding IP address and ASN. Its 
use   ]
[ is restricted to network administration purposes. For further 
information,  ]
[ use 'whois -h whois.nic.ad.jp help'. To only display English 
output,]
[ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp 
xxx/e'.  ]

Network Information:
a. [Network Number] 211.18.254.224/28
b. [Network Name]   AVION
g. [Organization]   AVION Co.,Ltd
m. [Administrative Contact] KI452JP
n. [Technical Contact]  AH100JP
p. [Nameserver]
[Assigned Date] 2002/08/23
[Return Date]
[Last Update]   2002/08/23 11:23:06(JST)

Less Specific Info.
--
KDDI CORPORATION
 [Allocation]211.18.0.0/16
DION (KDDI CORPORATION)
SUBA-161-TKY [Sub Allocation]  211.18.254.0/24

More Specific Info.

Y si usas algunas de la utilidades que se encuentran googleando (como 
traceroute, etc), lo verás mas claro.

Sólo digo esto para que la gente sepa de estas útiles opciones.

--
No match!!
pabloportatil:/h
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpeRwqBZRPh3.pgp
Description: PGP signature

Re: Intento de intrusión (Manual Iptables PDF)

2006-04-09 Por tema Iñaki

El Domingo, 9 de Abril de 2006 19:29, Iván Forcada Atienza escribió:
> >
> > He colgado el manual de Iptables en formato PDF en la siguiente URL:
> >
> >http://www.euskalnet.net/ibc/Iptables.pdf
>
> Son casi 6 megas... ahi va un mirror, para que no se resienta demasiado
> tu adsl ;-),

No es mi servidor, es un hosting cutrillo que me "regala" mi ISP.   ;)



> aunque en mi opinion se ve mucho mejor en html que en pdf, 
> pero weno ;-).

Por supuesto, pero como pretendas imprimirlo en formato HTML te hernias. Yo lo 
pasé a PDF precisamente para imprimirlo.



-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

2006-04-09 Por tema Muammar Wadih El Khatib Rodriguez

Hola, soy quien envío el correo original. Muchas gracias por todas las
recomendaciones. He aprendido mucho con todo esto. Yo desactive el
acceso root por ssh, pero ahora el tipo este de china esta haciendo
fuerza bruta para nombres de usuarios en específico. Creo que tienen
razón, bloquear ip's no tiene mucho sentido porque son dinámicas en la
mayoría de los casos. La persona que trata de meterse a mi sistema usa
red hat 9.0  y tiene los puertos 21 23 25 80 110 111 443 abiertos.
Este número de puertos se corresponde para cada una de estas
"distintas" ip's de donde tratan de meterse, al igual que la distro
que usa (red hat), a mi sistema (es decir, es el mismo tipo, o por lo
menos eso creo). Y si es verdad, esa persona no tiene nada de
seguridad en su computador, tiene el telnet, el ssh con acceso para
root entre otras vulnerabilidades. Es cierto una buena defenza en
ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que
me hace, cada cosa se la devuelvo.

Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos
links que enviaron.



--
Muammar El Khatib.
Linux user: 403107.

Re: Intento de intrusión

2006-04-09 Por tema Iván Forcada Atienza


[Sun, 09 Apr 2006 12:28:08 -0400] - m:
> >precisos  de tiempo (2 segundos para cada intervalo), el número de
> >intentos es alrededor de 80. Y para el usuario que uso yo comunmente
> 
>  Hay una manera de usar iptables para que ese IP que trata mas de X veces sea 
> bloqueado por X segundos, si alguien sabe de algún 
> tutorial que explique eso claramente, que nos de el enlace por favor. 
> Gracias. Chao.

No es exactamente lo mismo, pero lo que yo hago es no dejar mas de 5
(valor configurable) intentos de acceso ssh por minuto tambien
configurable). De esa manera tiras al traste cualquier intento de 
fuerza bruta.

No sé de ningún manual, pero googleando seguro que sale algo... Os pego
un cachejo representativo, por si a alguien le sirve de algo.

# Limite global para el logging en el Logging-Chains
LOGLIMIT="2/s"
# Limite de rafaga para el logging en el Logging-Chains
LOGLIMITBURST="10"

[...]

#Cadena para el logging de intentos de ataque al puerto SSH
echo "Creando tabla LSSATTACK..."
$IPTABLES -N LSSHATTACK 
$IPTABLES -A LSSHATTACK -m limit --limit $LOGLIMIT --limit-burst $LOGLIMITBURST 
-j LOG --log-prefix "fp=SSHATTACK:1 a=DROP"
$IPTABLES -A LSSHATTACK -j DROP

#Cadena SSHATTACK - Controla ataques al puerto 22
echo "Creando tabla SSHATTACK..."
$IPTABLES -N SSHATTACK
$IPTABLES -A SSHATTACK -p tcp --dport 22 -m state --state NEW -m recent --name 
ssh --rsource --update --seconds 60 --hitcount 5 -j LSSHATTACK
$IPTABLES -A SSHATTACK -p tcp --dport 22 -m state --state NEW -m recent --name 
ssh --rsource --set -j RETURN

[...]

#CONEXIONES ENTRANTES al puerto 22, SSH - logueo y tiro si es ataque, y si no 
pasa para que se decida que hacer posteriormente
$IPTABLES -A INPUT -i $IF_INET -j SSHATTACK

[...] 

> -- 
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 

-- 
___
Iván Forcada Atienza:
  correo: [EMAIL PROTECTED]
---
"Software is like sex: it's better when it's free" (Linus Torvalds)
  


pgpy6oxe0fF3H.pgp
Description: PGP signature

Re: Intento de intrusión

2006-04-09 Por tema m


precisos  de tiempo (2 segundos para cada intervalo), el número de
intentos es alrededor de 80. Y para el usuario que uso yo comunmente


 Hay una manera de usar iptables para que ese IP que trata mas de X 
veces sea bloqueado por X segundos, si alguien sabe de algún tutorial 
que explique eso claramente, que nos de el enlace por favor. Gracias. Chao.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-09 Por tema José Regalado

Muammar Wadih El Khatib Rodriguez escribió:
> Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes
> de seguridad que provienen de una misma ip en china.  Hice un
> chkrootkit y no tengo nada fuera de lo normal, todo aparece como no
> infectado. Ahora lo que me preocupa es que me parece que desde esa
> dirección ip están tratando de sacarme el password del root, pues
> salen muchos logines fallidos para el root en intervalos muy cortos y
> precisos  de tiempo (2 segundos para cada intervalo), el número de
> intentos es alrededor de 80. Y para el usuario que uso yo comunmente
> el comando w no muestra información luego de esos intentos de
> intrusión.
>
>   
Yo hice algo drástico cambie el puerto del ssh  y no volví a recibir
ataques.
>
>   


-- 
José Luis Regalado
Debian GNU/Linux User 280381.
San Cristóbal Edo. Táchira - Venezuela
0276-766.72.20 0416-373.75.15 0414-710.48.57
FINGERPRINT=27AB 7E3A F77F 58C8 A0DB  57AD 9912 CF32 9C2E 001E
"Donde  hay  ignorancia  hay  fanatismo  donde
hay fanatismo  no hay tolerancia, donde no hay
tolerancia no hay _paz_"















-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

El Domingo, 9 de Abril de 2006 18:17, Iñaki escribió:
> Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería
> añadir que para el tema de exportar la clave se puede usar el
> comando "ssh-copy-id" que te evita andar copiando de un sitio a otro y
> demás, alguna vez lo he usado y te ahorra tiempo.
>

Mira que bien. No lo conocía. Yo para esto usaba scp o sftp y luego con un cat 
archivo >> .ssh/know_hosts, lo añadía.

> Y ya puestos comento que a mí también me están intentando entrar mediante
> un script cada 3 segundos con curiosos nombres como "harrypotter" y demás.
> La IP es la siguiente:
>   66.226.74.83
>
> ¿Alguien puede comprobar si le están intentando entrar desde esa IP?

Lo he comprobado, como ya le dicho antes a Ramiro, y no tengo ningún log de 
intentos.

Pese al comentario (de broma, claro) hecho antes de "ojo por ojo", lo mejor es 
prevenir que curar.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpcETFyr6BNv.pgp
Description: PGP signature

Re: Intento de intrusión (Manual Iptables PDF)

2006-04-09 Por tema Iñaki

El Domingo, 9 de Abril de 2006 01:51, Felix Perez escribió:
> El 8/04/06, Iñaki<[EMAIL PROTECTED]> escribió:
> > El Sábado, 8 de Abril de 2006 18:54, Muammar Wadih El Khatib Rodriguez
> >
> > escribió:
> > > Estoy leyendo el man de iptables. Muchas gracias Iñaki.
> >
> > Léelo a fondo, no obstante te voy a recomendar el que para mí ha sido el
> > más didáctico de los manuales sobre Iptables que he visto (además en
> > español):
> > http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html
> >
> > Tómatelo con calma para aprenderlo bien, merece la pena.
> > (Si te interesa imprimirlo lo pasé a PDF hace tiempo, sólo tienes que
> > pedírmelo).
>
> Iñaki me cuelgo de tu ofrecimiento, podrias enviarmelo a mi tambien,
> gracias de antemano.


He colgado el manual de Iptables en formato PDF en la siguiente URL:

   http://www.euskalnet.net/ibc/Iptables.pdf




-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

2006-04-09 Por tema Iñaki

El Domingo, 9 de Abril de 2006 13:16, Pablo Braulio escribió:
> El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió:
> Hola Ramiro.
>
> Aquí el consejo de sabios, je,je. Es broma. :-D
>
> En mi opinión deberías hacer dos cosas:
> Asegurar ssh (como ya te han dicho)
> y configurar tu firewall para evitar escaneos, bloquear ips, etc.
>
> Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor
> ssh. Aquí tienes información:
>
> http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/
>
> Aunque si buscas en google verás que hay información sobre esto.
>
> http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:20
>05-09,GGGL:es&q=ssh+fuerza+bruta
>
> Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por
> defecto 22), deshabilites el acceso a root y uses claves en lugar de
> password.
>
> Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente:
>
> Port XX (pones el puerto que quieras)
>
> PermitRootLogin no (para evitar logeos de root)
>
> RSAAuthentication yes
> PubkeyAuthentication yes
> AuthorizedKeysFile  %h/.ssh/authorized_keys
>
> PasswordAuthentication no (para deshabilitar el logeo con password)
>
> Creo que no me dejo nada.
>
> Para deshabilitar el logeo de los clientes por medio de una contraseña,
> debes crear una clave en cada cliente que accede al servidor y luego
> copiarla en este.
>
> Para eso haces en el cliente:
>
> $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man)
>
> Eso te crea un archivo id_rsa.pub (tu clave pública), que debes
> añadir/copiar el contenido de este en el path de tu servidor
> /home/usuario.ssh/know_hosts
>
> Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al
> equipo que tenga esa clave, sin permitir poner la contraseña a aquellos
> equipos que no disponen de esta.
>
> Si creas la clave sin contraseña, podrás entrar directamente, y no es un
> fallo de seguridad.
>
> Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar
> que cualquiera pueda estar probando usuarios y contraseñas, que es lo que
> te está ocurriendo.
>
> Respecto al firewall. Siempre es interesante, por no decir imprescindible,
> usarlo. Te aconsejo que mires el manual que han puesto, y lo configures
> para bloquear las ips que te tocan las narices y bloquees escaneos de
> redes. Entre otras cosas, claro.
>
> Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar
> intentos de acceso y luego crear la regla de iptables necesaria para
> bloquear esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no
> me parece demasiado útil bloquear ips, pues estas en muchos casos son
> dinámicas.
>
> Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa
> nmap para ver los puertos de este individuo y podrás ver que tiene ssh
> abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo
> mismo que él esta haciendo.
>
> Que  tengas suerte.


Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería 
añadir que para el tema de exportar la clave se puede usar el 
comando "ssh-copy-id" que te evita andar copiando de un sitio a otro y demás, 
alguna vez lo he usado y te ahorra tiempo.

Y ya puestos comento que a mí también me están intentando entrar mediante un 
script cada 3 segundos con curiosos nombres como "harrypotter" y demás. La IP 
es la siguiente:
  66.226.74.83

¿Alguien puede comprobar si le están intentando entrar desde esa IP?





-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

Hola Pablo

Hola Ramiro.

Aquí el consejo de sabios, je,je. Es broma. :-D

Se agradece el email recibido y todos los consejos.

En mi opinión deberías hacer dos cosas:
Asegurar ssh (como ya te han dicho)
y configurar tu firewall para evitar escaneos, bloquear ips, etc.

¡En ello estamos gracias a tu email!

Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor
ssh. Aquí tienes información:

http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/

Aunque si buscas en google verás que hay información sobre esto.

http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2005-09,GGGL:es&q=ssh+fuerza+bruta

Efectivamente ese es el ataque. Aunque veo que teniendo buenas claves no
debería haber problema. Sería una verdadera casualidad que adivinase la
clave de un usuario. En ese sistema sólo hay dos usuarios y con buenas
claves.

Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por defecto
22), deshabilites el acceso a root y uses claves en lugar de password.

Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente:

Port XX (pones el puerto que quieras)

Voy a hacerte caso y cambiaré el puerto al XX. Claro que si este intruso
hace un escaneo de puertos aparecerá ssh escuchando en XX y no
adelantaré nada. ¿O se me escapa algo?

PermitRootLogin no (para evitar logeos de root)

Acabo de hacer eso ahora miso. Así si quiere ser root al menos tiene que
pasar por ser usuario normal antes... ;-)

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

PasswordAuthentication no (para deshabilitar el logeo con password)

Esto ya es más sofisticado y me lo voy a leer con calma, pero tiene muy
buena pinta. Lo desconocía completamente.

Creo que no me dejo nada.

Para deshabilitar el logeo de los clientes por medio de una contraseña, debes
crear una clave en cada cliente que accede al servidor y luego copiarla en
este.

Para eso haces en el cliente:

$ssh-keygen -t rsa -b 1024 (creo que es así, mira el man)

Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar
el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts

Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al
equipo que tenga esa clave, sin permitir poner la contraseña a aquellos
equipos que no disponen de esta.

Si creas la clave sin contraseña, podrás entrar directamente, y no es un fallo
de seguridad.

Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que
cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está
ocurriendo.

Respecto al firewall. Siempre es interesante, por no decir imprescindible,
usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para
bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre
otras cosas, claro.

Respecto a la necesitdad del firewall, me dí cuenta de ello en el
momento que estaba observando el ataque. El servidor ssh está en la
Universidad y estoy entrando desde mi casa. Al hacer cat
/var/log/auth.log aparecían todos los intentos logeados de adivinar la
clave. En ese momento me acordé del único firewall que uso en mi casa:
Firestarter, pero claro, es en modo gráfico. Como no es plan de
habilitar las conexiones X con el servidor ssh y añadir más
inseguridades, creo que ha llegado la hora de aprender iptables a pedal.
En ese momento quería inhabilitar los paquetes procedentes de esa IP y
fastidiar al hombre este pero claro, no tengo ni idea. Si deshabilito
ssh me cierro a mí mismo la posibilidad de entrar hasta el lunes que
vaya por allí y encienda de nuevo la máquina. Me conecté a la IP con un
navegador y era una WEB en chino. ¿Hay alguna manera de echar a este
hombre sin iptables. Me dió miedo matar alguno de los procesos de sshd,
no fuera a ser que me fastidiase a mi mismo.

Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar
intentos de acceso y luego crear la regla de iptables necesaria para bloquear
esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece
demasiado útil bloquear ips, pues estas en muchos casos son dinámicas.

Gracias, de momento no lo necesito, eso es mucho más sofisticado ;-)

Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap
para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y
curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él
esta haciendo.

Gracias por tu ayuda Pablo.

Que tengas suerte.

Muchas gracias.

Saludos, si tengo alguna duda de iptables ya se donde acudir.

Ramiro.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió:
> Hola,
>
> Yo también me apunto, a mí también me están intentando entrar por ssh y
> voy a ponerles una regla en iptables. Creo que llegó la hora de
> aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-)
>
> Apr  9 12:19:48 localhost sshd[2614]: Illegal user ronald from
>
> :::211.18.254.236
>
> Apr  9 12:19:51 localhost sshd[2616]: Illegal user ronald from
>
> :::211.18.254.236
>
> Apr  9 12:19:53 localhost sshd[2619]: Illegal user ronald from
>
> :::211.18.254.236
>
> Apr  9 12:19:56 localhost sshd[2621]: Illegal user dujoey from
>
> :::211.18.254.236
>
> Apr  9 12:19:58 localhost sshd[2624]: Illegal user dujoey from
>
> :::211.18.254.236
>
> Apr  9 12:20:01 localhost sshd[2626]: Illegal user dujoey from
>
> :::211.18.254.236
>
> Apr  9 12:20:04 localhost sshd[2628]: Illegal user paul from
>
> :::211.18.254.236
>
> Apr  9 12:20:06 localhost sshd[2630]: Illegal user paul from
>
> :::211.18.254.236
>
> Apr  9 12:20:09 localhost sshd[2632]: Illegal user paul from
>
> :::211.18.254.236
>
> Saludos.
> Ramiro.


Hola Ramiro.

Aquí el consejo de sabios, je,je. Es broma. :-D

En mi opinión deberías hacer dos cosas:
Asegurar ssh (como ya te han dicho)
y configurar tu firewall para evitar escaneos, bloquear ips, etc.

Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor 
ssh. Aquí tienes información:

http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/

Aunque si buscas en google verás que hay información sobre esto.

http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2005-09,GGGL:es&q=ssh+fuerza+bruta

Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por defecto 
22), deshabilites el acceso a root y uses claves en lugar de password.

Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente:

Port XX (pones el puerto que quieras)

PermitRootLogin no (para evitar logeos de root)

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile  %h/.ssh/authorized_keys

PasswordAuthentication no (para deshabilitar el logeo con password)

Creo que no me dejo nada.

Para deshabilitar el logeo de los clientes por medio de una contraseña, debes 
crear una clave en cada cliente que accede al servidor y luego copiarla en 
este.

Para eso haces en el cliente:

$ssh-keygen -t rsa -b 1024 (creo que es así, mira el man)

Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar 
el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts

Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al 
equipo que tenga esa clave, sin permitir poner la contraseña a aquellos 
equipos que no disponen de esta.

Si creas la clave sin contraseña, podrás entrar directamente, y no es un fallo 
de seguridad.

Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que 
cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está 
ocurriendo.

Respecto al firewall. Siempre es interesante, por no decir imprescindible, 
usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para 
bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre 
otras cosas, claro.

Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar 
intentos de acceso y luego crear la regla de iptables necesaria para bloquear 
esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece 
demasiado útil bloquear ips, pues estas en muchos casos son dinámicas.

Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap 
para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y 
curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él 
esta haciendo.

Que  tengas suerte.

-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpBfbjjYTzzO.pgp
Description: PGP signature

Re: Intento de intrusión


Pablo Braulio wrote:

Yo tambien me cuelgo del ofrecimiento, lo agradecere enormemente.



Ya puestos, a mi también me vendría bien tenerlo en pdf.

¿Porque no lo cuelgas en algún sitio y nos pasas la url?.


Hola,

Yo también me apunto, a mí también me están intentando entrar por ssh y 
voy a ponerles una regla en iptables. Creo que llegó la hora de 
aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-)


Apr  9 12:19:48 localhost sshd[2614]: Illegal user ronald from 
:::211.18.254.236
Apr  9 12:19:51 localhost sshd[2616]: Illegal user ronald from 
:::211.18.254.236
Apr  9 12:19:53 localhost sshd[2619]: Illegal user ronald from 
:::211.18.254.236
Apr  9 12:19:56 localhost sshd[2621]: Illegal user dujoey from 
:::211.18.254.236
Apr  9 12:19:58 localhost sshd[2624]: Illegal user dujoey from 
:::211.18.254.236
Apr  9 12:20:01 localhost sshd[2626]: Illegal user dujoey from 
:::211.18.254.236
Apr  9 12:20:04 localhost sshd[2628]: Illegal user paul from 
:::211.18.254.236
Apr  9 12:20:06 localhost sshd[2630]: Illegal user paul from 
:::211.18.254.236
Apr  9 12:20:09 localhost sshd[2632]: Illegal user paul from 
:::211.18.254.236


Saludos.
Ramiro.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión