Re: Intento de intrusión
Hola, Pues yo creo que no deberías hacer eso ya que seguramente esa IP que te ataca sea de un máquina ya "hackeada" o bien de una universidad , instituto, biblioteca, centro de jóvenes, cibercafe, etc ,etc...con el consecuente lío que podrías tener por atacar a esas entidades. Na mais. Es cierto una buena defenza en ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que me hace, cada cosa se la devuelvo. Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos links que enviaron. -- Muammar El Khatib. Linux user: 403107. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
clave. En ese momento me acordé del único firewall que uso en mi casa: Firestarter, pero claro, es en modo gráfico. Firestarter, es un front end grafico que finalmente te configuraiptables! Efectivamente, pero con los nervios no era plan de ponerse a leer el manual de iptables e intentar entenderlo en unos minutos. ;-) Como no es plan de habilitar las conexiones X con el servidor ssh y añadir más inseguridades, creo que ha llegado la hora de aprender iptables a pedal. En ese momento quería inhabilitar los paquetes procedentes de esa IP y fastidiar al hombre este pero claro, no tengo ni idea. # route add reject ip_molesta pero con eso solo logras hacerlo momentanemante, esa gente, por lo gral, usa ip dinamicas. Muchas gracias Ricardo por los sabios consejos. Este truco me hubiese salvado en ese momento. Lástima no haberlo sabido. Si deshabilito ssh me cierro a mí mismo la posibilidad de entrar hasta el lunes que vaya por allí y encienda de nuevo la máquina. Me conecté a la IP con un navegador y era una WEB en chino. ¿Hay alguna manera de echar a este hombre sin iptables. Perfecto. Muchas gracias. Ramiro. Arriba te mande una. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
consultores1 wrote: El Martes 11 Abril 2006 12:26 AM, Pablo Braulio escribió: El Martes, 11 de Abril de 2006 08:55, consultores1 escribió: Agrego algo que no encontre en manuales: (usando ruteador) -Se puede negar el acceso totalmente. -Se puede definir la MAC o la ip ¿Te refieres en el servidor ssh o en iptables?. No, en el router o ruteador (hardware), no una caja con funciones de ruteador, lo que no se, es si es posible apoderarse de uno de estos aparatos via internet, supongo que seria dificil mantener el control por mucho tiempo. Estos aparatos traen una opcion para acceder a tu maquina via internet, la puedes configurar de varias formas. con ip o mac. Si es en el primero, te ruego nos des mas información de como hacerlo. Ahora que lo mencionas, me doy cuenta que las funciones son similares a las del /etc/ssh/sshd.conf En el caso de iptables, el filtrado de macs sólo se puede hacer dentro de una lan. esto no lo sabia, gracias. Hola a todos, Leyendo este hilo, y tras probar denyhosts, se me ha ocurrido una cosa: De vez en cuando veo en los logs intentos de entrada con logins tipicos como guest, test, etc. ¿Hay ya hecho algun script que bloquee una IP desde la que se intente entrar con un login especifico? Me refiero a que por ejemplo, ponga en hosts.deny un host desde el que se ha intentado entrar con login 'test'. No debe ser muy complicado de hacer, pero si ya esta hecho.. eso que nos ahorramos, jeje Saludos __ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
El Miércoles 12 Abril 2006 12:36 AM, Pablo Braulio escribió: > > No, en el router o ruteador (hardware), no una caja con funciones de > > ruteador, lo que no se, es si es posible apoderarse de uno de estos > > aparatos via internet, supongo que seria dificil mantener el control por > > mucho tiempo. > > Yo personalmente prefiero usar algún equipo con iptables (por ejemplo) > para tener el control de mi red. No quiero decir que reuse del uso de > un router, pero pongo tras este un equipo con varias interfaces que me > haga esta función. La razón, es que sobre este tengo yo el control y > sobre el router, la mayoría de los casos lo tiene el ISP. Desconfio un > poco pues suelen dejar algunos puertos abiertos para acceso remoto y > demás. En mi caso, tengo 2 DLink 614+ y no son controlados por la ISP, son 2 redes distintas, ambas con cajas Linux detrás y por supuesto toda la seguridad que permite la configuración de Linux. > > > Estos aparatos traen una opcion para acceder a tu maquina via internet, > > la puedes configurar de varias formas. con ip o mac. > > Si, pero al igual que iptables, esto sólo sirve para equipos dentro de > la red local en el caso del filtro de macs. Si que puedes filtrar por > ips y en iptables igual. Yo puedo definir la maquina con la que me conecto a mis Linux, y también dejar 1 maquina por ruteador directamente con internet. Me gusta, por que asi tengo doble seguridad, de esto no he probado lo contrario. > > > Supongo que es cuestión de gustos. Y quizás, también de recursos, aquí compras 1 ruteador por $ 20.oo > -- > Saludos. > Pablo. > > Jabber: bruli(at)myjabber(dot)net -- LQH Consultores S.A. de C.V. "Agricultura, Industria, Servicios."
Re: Intento de intrusión
El Martes 11 Abril 2006 12:26 AM, Pablo Braulio escribió: > El Martes, 11 de Abril de 2006 08:55, consultores1 escribió: > > Agrego algo que no encontre en manuales: (usando ruteador) > > -Se puede negar el acceso totalmente. > > -Se puede definir la MAC o la ip > > ¿Te refieres en el servidor ssh o en iptables?. > No, en el router o ruteador (hardware), no una caja con funciones de ruteador, lo que no se, es si es posible apoderarse de uno de estos aparatos via internet, supongo que seria dificil mantener el control por mucho tiempo. Estos aparatos traen una opcion para acceder a tu maquina via internet, la puedes configurar de varias formas. con ip o mac. > Si es en el primero, te ruego nos des mas información de como hacerlo. > Ahora que lo mencionas, me doy cuenta que las funciones son similares a las del /etc/ssh/sshd.conf > En el caso de iptables, el filtrado de macs sólo se puede hacer dentro de > una lan. esto no lo sabia, gracias. -- LQH Consultores S.A. de C.V. "Agricultura, Industria, Servicios."
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Muammar Wadih El Khatib Rodriguez wrote: > Interesante, probaré. No te lo recomiendo. Las razones, te las explique en un correo anterior: /nunca/ alguien o "algo" que intenta ingresar en tu sistema lo hace desde una IP fija. Mejor concentrate en asegurar tu servidor. > Saludos. > -- > Muammar El Khatib. > Linux user: 403107. > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEO6Tqkw12RhFuGy4RAjcoAJ0SBp1Gs9qZGm6G8htBaEitPBRK5wCfeue6 5oLloyKJEHh6FKQsB9FmTwE= =iMgv -END PGP SIGNATURE-
Re: Intento de intrusión
El Martes, 11 de Abril de 2006 08:55, consultores1 escribió: > Agrego algo que no encontre en manuales: (usando ruteador) > -Se puede negar el acceso totalmente. > -Se puede definir la MAC o la ip ¿Te refieres en el servidor ssh o en iptables?. Si es en el primero, te ruego nos des mas información de como hacerlo. En el caso de iptables, el filtrado de macs sólo se puede hacer dentro de una lan. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgpTTzeOjwhL5.pgp Description: PGP signature
Re: Intento de intrusión
El Lunes 10 Abril 2006 11:40 AM, Iñigo Tejedor Arrondo escribió: > El lun, 10-04-2006 a las 10:56 -0300, Juan Pablo escribió: > > -BEGIN PGP SIGNED MESSAGE- > > Hash: SHA1 > > > > Iñaki wrote: > > > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! > > > > > > escribió: > > >> Iñaki wrote: > > Al hilo de todos los buenos consejos que se han dado, acudí a la > documentación oficial. Solo añadir (por suerte de la mayoria de esto se > encarga debconf): > > -que se debería deshabilitar el protocólo ssh1 si no se utiliza > -que se puede definir la interfaz a la escucha si hay varias > -chequear que no permita contraseñas vacias (PermitEmptyPasswords no) > -que se puede definir el host desde el que se tiene acceso (AllowUsers > foo ref [EMAIL PROTECTED]) > -que también se pueden definir grupos (AllowGroups foo) > -que se puede integrar con /etc/loginusers... > > You can also restrict access to the ssh server using pam_listfile or > pam_wheel in the PAM control file. For example, you could keep anyone > not listed in /etc/loginusers away by adding this line > to /etc/pam.d/ssh: > > auth required pam_listfile.so sense=allow onerr=fail item=user > file=/etc/loginusers > > También dice que se puede deshabilitar la transferencias de ficheros si > no se necesitan (sftp y scp) y dice como poner ssh en chroot. > > ¿quien lo dice?: > http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en. >html#s5.1 y > http://www.debian.org/doc/manuals/reference/ch-tune.es.html#s-ssh > > Saludos y gracias por el hilo tan instructivo. Agrego algo que no encontre en manuales: (usando ruteador) -Se puede negar el acceso totalmente. -Se puede definir la MAC o la ip -- LQH Consultores S.A. de C.V. "Agricultura, Industria, Servicios."
Re: Intento de intrusión
> Pues mira por donde, acabo de descubrir una herramienta para evitar intentos > de accesos. > > Se llama denyhosts, y está en los repositorios de debian. > > aptitude search denyhosts > i denyhosts - an utility to help sys > admins thwart ssh hackers > i A denyhosts-common - an utility to help sys > admins thwart ssh hackers > i A denyhosts-python2.3 - an utility to help sys > admins thwart ssh hackers > p denyhosts-python2.4 > > Se ejecuta en demonio, y lo que hace es analizar el log /var/log/auth.log, y > si detecta alguna ip que intenta acceder por ssh la bloquea colocándola en el > archivo /etc/hosts.deny > > Se puede configurar de modo muy fácil. Le puedes decir que te mande un mail, > el tiempo de bloqueo, etc. > > Acabo de instalarlo y lo voy a probar. Mirar a ver si os gusta. > > > -- > Saludos. > Pablo > > Jabber: bruli(at)myjabber(to)net > Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D > > > Interesante, probaré. Saludos. -- Muammar El Khatib. Linux user: 403107.
Re: Intento de intrusión
El Lunes, 10 de Abril de 2006 20:54, Iñaki escribió: > Esto es sencillamente genial, lo acabo de probar y funciona perfectamente, > qué maravilla. Ahora mismo sólo permito que 2 usuarios entren por SSH, es > perfecto. Pues mira por donde, acabo de descubrir una herramienta para evitar intentos de accesos. Se llama denyhosts, y está en los repositorios de debian. aptitude search denyhosts i denyhosts - an utility to help sys admins thwart ssh hackers i A denyhosts-common - an utility to help sys admins thwart ssh hackers i A denyhosts-python2.3 - an utility to help sys admins thwart ssh hackers p denyhosts-python2.4 Se ejecuta en demonio, y lo que hace es analizar el log /var/log/auth.log, y si detecta alguna ip que intenta acceder por ssh la bloquea colocándola en el archivo /etc/hosts.deny Se puede configurar de modo muy fácil. Le puedes decir que te mande un mail, el tiempo de bloqueo, etc. Acabo de instalarlo y lo voy a probar. Mirar a ver si os gusta. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgp0gQEO8Q2tB.pgp Description: PGP signature
Re: Intento de intrusión
El Lunes, 10 de Abril de 2006 20:40, Iñigo Tejedor Arrondo escribió: > El lun, 10-04-2006 a las 10:56 -0300, Juan Pablo escribió: > > -BEGIN PGP SIGNED MESSAGE- > > Hash: SHA1 > > > > Iñaki wrote: > > > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! > > > > > > escribió: > > >> Iñaki wrote: > > -que se puede integrar con /etc/loginusers... > > You can also restrict access to the ssh server using pam_listfile or > pam_wheel in the PAM control file. For example, you could keep anyone > not listed in /etc/loginusers away by adding this line > to /etc/pam.d/ssh: > > auth required pam_listfile.so sense=allow onerr=fail item=user > file=/etc/loginusers Esto es sencillamente genial, lo acabo de probar y funciona perfectamente, qué maravilla. Ahora mismo sólo permito que 2 usuarios entren por SSH, es perfecto. Muchas gracias. -- y hasta aquí puedo leer...
Re: Intento de intrusión
El lun, 10-04-2006 a las 10:56 -0300, Juan Pablo escribió: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Iñaki wrote: > > > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! > > escribió: > > > >> Iñaki wrote: > >> Al hilo de todos los buenos consejos que se han dado, acudí a la documentación oficial. Solo añadir (por suerte de la mayoria de esto se encarga debconf): -que se debería deshabilitar el protocólo ssh1 si no se utiliza -que se puede definir la interfaz a la escucha si hay varias -chequear que no permita contraseñas vacias (PermitEmptyPasswords no) -que se puede definir el host desde el que se tiene acceso (AllowUsers foo ref [EMAIL PROTECTED]) -que también se pueden definir grupos (AllowGroups foo) -que se puede integrar con /etc/loginusers... You can also restrict access to the ssh server using pam_listfile or pam_wheel in the PAM control file. For example, you could keep anyone not listed in /etc/loginusers away by adding this line to /etc/pam.d/ssh: auth required pam_listfile.so sense=allow onerr=fail item=user file=/etc/loginusers También dice que se puede deshabilitar la transferencias de ficheros si no se necesitan (sftp y scp) y dice como poner ssh en chroot. ¿quien lo dice?: http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s5.1 y http://www.debian.org/doc/manuals/reference/ch-tune.es.html#s-ssh Saludos y gracias por el hilo tan instructivo. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! > escribió: > >> Iñaki wrote: >> >>> Y ya puestos comento que a mí también me están intentando >>> entrar mediante un script cada 3 segundos con curiosos nombres >>> como "harrypotter" y demás. La IP es la siguiente: 66.226.74.83 >>> HEY! Pero no te preocupes tanto, esto pasa constantemente! Que te traten de hacer un bruteforce es normal, y si tenés un apache, mira los logs que también vas a encontrar miles de pedidos de archivos de sistema y otras cositas. Yo lo que hago es filtrar las ip de esta gente y listo. Tenés scripts y programas (busca con google "ssh bruteforce") que automáticamente detectan este tipo de cosas y bloquean los ip o toman alguna medida al respecto. Cambiar de puerto el ssh es una buena idea, pero solo eso no basta, trata de usar claves complejas. Saludos, Juan Pablo. >> Cuentanos algo mas de los intentos. > > > > Cambié el puerto y ya acabaron los intentos, pero pego una porción > de los logs: > > > pr 9 16:52:51 aliax sshd[19531]: Failed password for invalid user > adm from 210.3.10.51 port 49259 ssh2 Apr 9 16:52:57 aliax > sshd[19557]: Failed password for invalid user amd from 210.3.10.51 > port 49922 ssh2 Apr 9 16:53:03 aliax sshd[19591]: Failed password > for invalid user clan from 210.3.10.51 port 50490 ssh2 Apr 9 > 16:53:12 aliax sshd[19605]: Failed password for invalid user clans > from 210.3.10.51 port 51063 ssh2 Apr 9 16:53:21 aliax sshd[19658]: > Failed password for invalid user hawaii from 210.3.10.51 port 52085 > ssh2 Apr 9 16:53:27 aliax sshd[19680]: Failed password for invalid > user educational from 210.3.10.51 port 53026 ssh2 Apr 9 16:53:33 > aliax sshd[19702]: Failed password for invalid user benq from > 210.3.10.51 port 53605 ssh2 Apr 9 16:53:39 aliax sshd[19723]: > Failed password for invalid user httpd from 210.3.10.51 port 54144 > ssh2 Apr 9 16:53:44 aliax sshd[19748]: Failed password for invalid > user httpd from 210.3.10.51 port 54669 ssh2 Apr 9 16:53:50 aliax > sshd[19769]: Failed password for invalid user httpd from > 210.3.10.51 port 55326 ssh2 > > > > -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Debian - http://enigmail.mozdev.org iD8DBQFEOmQEw4NCNOGjRMERAooGAKDVUS3bgspFpj/f5C0GPXM711aB9QCfZ5r3 PR7ivtMJifXns1HNknmIJYI= =7vou -END PGP SIGNATURE- __ Correo Yahoo! Espacio para todos tus mensajes, antivirus y antispam �gratis! �Abr� tu cuenta ya! - http://correo.yahoo.com.ar -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
Muammar Wadih El Khatib Rodriguez escribió: Hola, soy quien envío el correo original. Muchas gracias por todas las recomendaciones. He aprendido mucho con todo esto. Yo desactive el acceso root por ssh, pero ahora el tipo este de china esta haciendo fuerza bruta para nombres de usuarios en específico. Creo que tienen razón, bloquear ip's no tiene mucho sentido porque son dinámicas en la mayoría de los casos. La persona que trata de meterse a mi sistema usa red hat 9.0 y tiene los puertos 21 23 25 80 110 111 443 abiertos. Este número de puertos se corresponde para cada una de estas "distintas" ip's de donde tratan de meterse, al igual que la distro que usa (red hat), a mi sistema (es decir, es el mismo tipo, o por lo menos eso creo). Y si es verdad, esa persona no tiene nada de seguridad en su computador, tiene el telnet, el ssh con acceso para root entre otras vulnerabilidades. Es cierto una buena defenza en ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que me hace, cada cosa se la devuelvo. Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos links que enviaron. -- Muammar El Khatib. Linux user: 403107. Hola, no creo que debas atacar a la IP que te está haciendo el ataque porque estas cosas no funcionan así, o por lo menos mi experiencia, en lo que yo he conocido. Lo que suelen hacer los que se dedican a entrar en ordenadores ajenos suele ser encontrar un ordenador vulnerable, entrar, cargarle algunos scripts (scanners y demás) despues parchear el fallo por el cual han conseguido pasar y dejar los script funcionando con una puerta de atrás abierta y así se quedan funcionando de manera autonoma y el que se coló solo tiene que entrar regularmente desde Finlandia, Andorra o el sitio donde viva el tipo en cuestión para ver lo que ha cazado sin apenas riesgos de ser pillado y tu lo que recibes es una IP china atacandote en el caso de que te des cuenta. Quizá me equivoque, pero si tiene una web y una IP fija es posible que sea de una empresa china (o japonesa o lo que sea) y que el tipo en cuestión que te está atacando se aprovechara de algún fallo de seguridad o cualquier otra cosa. Aunque también puede ser la opción mas sencilla y que realmente haya alguien atacando directamente desde esa IP, pero me parece un poco suicida para alguien que sepa mínimamente algo sobre seguridad y esas cosas. En cualquier caso yo descartaría el "ojo por ojo". -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
- Original Message - From: "Chapu" > Todo muy bonito... pero lo mas sencillo es antes de irte de vacaciones > cambia tu querida password por otra temporal... a medida que vas > visitando los cybers vas cambiando cada tanto.. cuando el logger de Lima > se apiole ya la habras vuelto a cambiar por otra temporal en Cuzco y > asi sucesivamente... cuando vuelvas a españa volves a tu password > querida y original.. la clave es ir cambiandola cada tanto... asi los > loggers siempre estan desactualizados... > > saludos > Cuando hablo de usar contraseñas fuertes, una de las cosas que implico es cambiarla al menos una vez cada 10 años ;-) Saludos Guimi http://www.guimi.net -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
Blu escribió: El problema de las contraseñas es que por muy buenas que sean, en un ciber no te salvas de un keylogger. Lo mas seguro es usar clave publica con frase de paso. Asi un adversario tiene que tener la clave privada mas la frase de paso. Si te roban la clave, les va a faltar la frase de paso (que esta en tu cabeza). Si te logean la frase de paso, les va a faltar la clave. Ahora, si tecleas la frase de paso y luego te dejas olvidado el pendrive con la clave, cooperaste. Todo muy bonito... pero lo mas sencillo es antes de irte de vacaciones cambia tu querida password por otra temporal... a medida que vas visitando los cybers vas cambiando cada tanto.. cuando el logger de Lima se apiole ya la habras vuelto a cambiar por otra temporal en Cuzco y asi sucesivamente... cuando vuelvas a españa volves a tu password querida y original.. la clave es ir cambiandola cada tanto... asi los loggers siempre estan desactualizados... saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
On Mon, Apr 10, 2006 at 04:59:22PM +0200, Guimi wrote: > >- Original Message - > >From: "Ricardo Frydman Eureka!" > >Guimi wrote: > >> Siempre he visto un problema a este sistema. Y es que debes autorizar a > >> cada cliente. > >> Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo > >> desde > cualquiera. > >> Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de > >> cada > cibercafe > >> entren en mi equipo sin pedir clave. > > > >Me estas diciendo que te conectas por ssh desde un cibercafe?!?!?!? > > Alguna vez sí. > > >Sabes lo inseguro que es usar ese tipo de informacion en ese tipo de > >lugares?!?!?! > > Creo que no son muy seguros pero tampoco soy paranoico. > > >> ¿A alguien se le ocurre una alternativa mejor? > > > >A que? Que es concretamente lo que necesitas hacer? > >Entrar a algun host desde un ciber? Definitivamente no lo conozco y > >nunca haria algo asi! > > Un ejemplo. El año pasado estuve de vacaciones en Perú. Yo soy de España. > Estando en Lima, > necesité conectar a un equipo en España. > ¿Qué opciones tengo? > telnet+ftp descartado, por supuesto --> uso ssh > (¿alguna otra opción para abrir una conexión y transferir ficheros?) > > Con ssh podría usar un sistema de claves publicas/privadas, lo que me obliga > a llevar mi > clave en una memoria flash, que puedo perder / olvidar o símplemente no tener > disponible > estando de vacaciones (y no voy a volver a España a por ella ;-) > Otra opción es usar símplemente contraseña, lo que hace muy necesario no > permitir acceso a > root y tener contraseñas fuertes. El problema de las contraseñas es que por muy buenas que sean, en un ciber no te salvas de un keylogger. Lo mas seguro es usar clave publica con frase de paso. Asi un adversario tiene que tener la clave privada mas la frase de paso. Si te roban la clave, les va a faltar la frase de paso (que esta en tu cabeza). Si te logean la frase de paso, les va a faltar la clave. Ahora, si tecleas la frase de paso y luego te dejas olvidado el pendrive con la clave, cooperaste. Blu. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
>- Original Message - >From: "Ricardo Frydman Eureka!" >Guimi wrote: >> Siempre he visto un problema a este sistema. Y es que debes autorizar a cada >> cliente. >> Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo desde cualquiera. >> Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de >> cada cibercafe >> entren en mi equipo sin pedir clave. > >Me estas diciendo que te conectas por ssh desde un cibercafe?!?!?!? Alguna vez sí. >Sabes lo inseguro que es usar ese tipo de informacion en ese tipo de >lugares?!?!?! Creo que no son muy seguros pero tampoco soy paranoico. >> ¿A alguien se le ocurre una alternativa mejor? > >A que? Que es concretamente lo que necesitas hacer? >Entrar a algun host desde un ciber? Definitivamente no lo conozco y >nunca haria algo asi! Un ejemplo. El año pasado estuve de vacaciones en Perú. Yo soy de España. Estando en Lima, necesité conectar a un equipo en España. ¿Qué opciones tengo? telnet+ftp descartado, por supuesto --> uso ssh (¿alguna otra opción para abrir una conexión y transferir ficheros?) Con ssh podría usar un sistema de claves publicas/privadas, lo que me obliga a llevar mi clave en una memoria flash, que puedo perder / olvidar o símplemente no tener disponible estando de vacaciones (y no voy a volver a España a por ella ;-) Otra opción es usar símplemente contraseña, lo que hace muy necesario no permitir acceso a root y tener contraseñas fuertes. Y aquí vuelvo a preguntar ¿A alguien se le ocurre una alternativa mejor? (además de no conectarme y disfrutar mis vacaciones como debería :-) Saludos Guimi http://www.guimi.net -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
El Lunes, 10 de Abril de 2006 15:31, Ricardo Frydman Eureka! escribió: > Iñaki wrote: > > Es que nunca he pensado que mis claves de usuarios fuesen vulnerables > > ;) > > Sabes cuantas veces oi eso de labios de clientes con "visitas"? Los únicos usuarios de mi ordenador soy yo mismo y 2 más que no sabían ni cambiar sus contraseñas y poner unas mucho más inseguras. Y están terriblemente avisadso de que NUNCA deben usar esa misma contraseña en ningún otro sitio, sólo cuando se loguean en el KDM. > La peor política de seguridad es la "sensacion" de estar seguro! Eso "seguro" ;) -- y hasta aquí puedo leer...
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: > Es que nunca he pensado que mis claves de usuarios fuesen vulnerables ;) Sabes cuantas veces oi eso de labios de clientes con "visitas"? La peor política de seguridad es la "sensacion" de estar seguro! - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOl4/kw12RhFuGy4RAm7GAJ93vTqaKeA+YgF89lGeZGJuyr+tgwCbBoha OFevEN8HBBIYwQXrYz50+pw= =8VnF -END PGP SIGNATURE-
Re: Intento de intrusión
El Lunes, 10 de Abril de 2006 15:22, Ricardo Frydman Eureka! escribió: > Iñaki wrote: > > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió: > >>Iñaki wrote: > >>>Y ya puestos comento que a mí también me están intentando entrar > >>> mediante un script cada 3 segundos con curiosos nombres como > >>> "harrypotter" y demás. La IP es la siguiente: > >>> 66.226.74.83 > >> > >>Cuentanos algo mas de los intentos. > > > > Cambié el puerto y ya acabaron los intentos, pero pego una porción de los > > logs: > > Perdon! Nunca imagine que tenias el ssh en 22, a pesar de haberse > discutido este tema varias veces en la lista > Te recomiendo releer los pasos que le di al compañero y te insto a > usarlos... Es que nunca he pensado que mis claves de usuarios fuesen vulnerables ;) -- y hasta aquí puedo leer...
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió: > >>Iñaki wrote: >> >>>Y ya puestos comento que a mí también me están intentando entrar mediante >>>un script cada 3 segundos con curiosos nombres como "harrypotter" y >>>demás. La IP es la siguiente: >>> 66.226.74.83 >> >>Cuentanos algo mas de los intentos. > > > > Cambié el puerto y ya acabaron los intentos, pero pego una porción de los > logs: > Perdon! Nunca imagine que tenias el ssh en 22, a pesar de haberse discutido este tema varias veces en la lista Te recomiendo releer los pasos que le di al compañero y te insto a usarlos... > > pr 9 16:52:51 aliax sshd[19531]: Failed password for invalid user adm from > 210.3.10.51 port 49259 ssh2 > Apr 9 16:52:57 aliax sshd[19557]: Failed password for invalid user amd from > 210.3.10.51 port 49922 ssh2 > Apr 9 16:53:03 aliax sshd[19591]: Failed password for invalid user clan from > 210.3.10.51 port 50490 ssh2 > Apr 9 16:53:12 aliax sshd[19605]: Failed password for invalid user clans > from > 210.3.10.51 port 51063 ssh2 > Apr 9 16:53:21 aliax sshd[19658]: Failed password for invalid user hawaii > from 210.3.10.51 port 52085 ssh2 > Apr 9 16:53:27 aliax sshd[19680]: Failed password for invalid user > educational from 210.3.10.51 port 53026 ssh2 > Apr 9 16:53:33 aliax sshd[19702]: Failed password for invalid user benq from > 210.3.10.51 port 53605 ssh2 > Apr 9 16:53:39 aliax sshd[19723]: Failed password for invalid user httpd > from > 210.3.10.51 port 54144 ssh2 > Apr 9 16:53:44 aliax sshd[19748]: Failed password for invalid user httpd > from > 210.3.10.51 port 54669 ssh2 > Apr 9 16:53:50 aliax sshd[19769]: Failed password for invalid user httpd > from > 210.3.10.51 port 55326 ssh2 > > > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlwDkw12RhFuGy4RAhS0AJ946hqH4WRZ5xfvnaE3iJtcmHaOHgCdH0NR KpUydKiJiZ9wl8TiRgWzC/c= =vo36 -END PGP SIGNATURE-
Re: Intento de intrusión
El Lunes, 10 de Abril de 2006 15:15, Ricardo Frydman Eureka! escribió: > La pregunta no fue para ti. La mia si. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgpmYfwYmWBTu.pgp Description: PGP signature
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pablo Braulio wrote: > El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió: > >>Cuentanos algo mas de los intentos. > > > ¿Porque no revisas los archivos de la lista?. Este hilo viene desde el sábado > y se ha hablado bastante sobre esto. La pregunta no fue para ti. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlp9kw12RhFuGy4RAk8iAKCTeKJ02kH/wWULdt1vqngjzKlJ3ACfUEo2 UwyHZmJm9Rd+inV+4Qv803A= =R38N -END PGP SIGNATURE-
Re: Intento de intrusión
El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió: > Iñaki wrote: > > Y ya puestos comento que a mí también me están intentando entrar mediante > > un script cada 3 segundos con curiosos nombres como "harrypotter" y > > demás. La IP es la siguiente: > > 66.226.74.83 > > Cuentanos algo mas de los intentos. Cambié el puerto y ya acabaron los intentos, pero pego una porción de los logs: pr 9 16:52:51 aliax sshd[19531]: Failed password for invalid user adm from 210.3.10.51 port 49259 ssh2 Apr 9 16:52:57 aliax sshd[19557]: Failed password for invalid user amd from 210.3.10.51 port 49922 ssh2 Apr 9 16:53:03 aliax sshd[19591]: Failed password for invalid user clan from 210.3.10.51 port 50490 ssh2 Apr 9 16:53:12 aliax sshd[19605]: Failed password for invalid user clans from 210.3.10.51 port 51063 ssh2 Apr 9 16:53:21 aliax sshd[19658]: Failed password for invalid user hawaii from 210.3.10.51 port 52085 ssh2 Apr 9 16:53:27 aliax sshd[19680]: Failed password for invalid user educational from 210.3.10.51 port 53026 ssh2 Apr 9 16:53:33 aliax sshd[19702]: Failed password for invalid user benq from 210.3.10.51 port 53605 ssh2 Apr 9 16:53:39 aliax sshd[19723]: Failed password for invalid user httpd from 210.3.10.51 port 54144 ssh2 Apr 9 16:53:44 aliax sshd[19748]: Failed password for invalid user httpd from 210.3.10.51 port 54669 ssh2 Apr 9 16:53:50 aliax sshd[19769]: Failed password for invalid user httpd from 210.3.10.51 port 55326 ssh2 -- y hasta aquí puedo leer...
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Guimi wrote: > - Original Message - > From: "Ramiro Aceves" > > (...) > >>>RSAAuthentication yes >>>PubkeyAuthentication yes >>>AuthorizedKeysFile %h/.ssh/authorized_keys >>> >>>PasswordAuthentication no (para deshabilitar el logeo con password) >> > (...) > >>>Para deshabilitar el logeo de los clientes por medio de una contraseña, debes >>>crear una clave en cada cliente que accede al servidor y luego copiarla en >>>este. > > > Siempre he visto un problema a este sistema. Y es que debes autorizar a cada > cliente. > Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo desde > cualquiera. > Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de > cada cibercafe > entren en mi equipo sin pedir clave. Me estas diciendo que te conectas por ssh desde un cibercafe?!?!?!? > Una alternativa sería llevar una clave en una memoria flash e ir instalándola > y > desinstalandola, pero creo que al final es mejor que el servidor ssh me > solicite una clave > y que ésta sea fuerte (a parte de no permitir login de root). Sabes lo inseguro que es usar ese tipo de informacion en ese tipo de lugares?!?!?! > > ¿A alguien se le ocurre una alternativa mejor? A que? Que es concretamente lo que necesitas hacer? Entrar a algun host desde un ciber? Definitivamente no lo conozco y nunca haria algo asi! > > Saludos > Guimi > http://www.guimi.net > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOld6kw12RhFuGy4RArezAJ9uUiFTkSHMiUcFU+z//0ItSNS8aQCdHRsC l95I/hXvQfFcmP/kBawt2RQ= =qHCL -END PGP SIGNATURE-
Re: Intento de intrusión
El Lunes, 10 de Abril de 2006 14:55, Ricardo Frydman Eureka! escribió: > El archivo en el cual debes colocar las llaves publicas es > $HOME/ssh/.authorized_keys o el que definas en su reemplazo en > /etc/ssh/sshd_config bajo la directiva AuthorizedKeysFile. Es verdad, me he colado. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgpIgAIjx1GvZ.pgp Description: PGP signature
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 m wrote: >> precisos de tiempo (2 segundos para cada intervalo), el número de >> intentos es alrededor de 80. Y para el usuario que uso yo comunmente > > > Hay una manera de usar iptables para que ese IP que trata mas de X > veces sea bloqueado por X segundos, si alguien sabe de algún tutorial > que explique eso claramente, que nos de el enlace por favor. Gracias. Chao. > > Como ya se ha dicho, eso no tiene sentido. Solo le resta reiniciar su coenxion, tomar nueva IP y seguir molestando - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlXlkw12RhFuGy4RAvveAJ45E0yyhHdUgWBZokwAA8oSW+haeACfW5Zw lD3G+52ip+zjhIZg9xeNZ8o= =ude2 -END PGP SIGNATURE-
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pablo Braulio wrote: > El Domingo, 9 de Abril de 2006 18:17, Iñaki escribió: > >>Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería >>añadir que para el tema de exportar la clave se puede usar el >>comando "ssh-copy-id" que te evita andar copiando de un sitio a otro y >>demás, alguna vez lo he usado y te ahorra tiempo. >> > > > Mira que bien. No lo conocía. Yo para esto usaba scp o sftp y luego con un > cat > archivo >> .ssh/know_hosts, lo añadía. Revisa tus apuntes, me parece que estas confundiendo archivos. $HOME/.ssh/known_hosts es un archivo que contiene las claves, ip y demas datos de los hosts conocidos del sistema a los cuales ya nos hemos conectado anteriormente. El archivo en el cual debes colocar las llaves publicas es $HOME/ssh/.authorized_keys o el que definas en su reemplazo en /etc/ssh/sshd_config bajo la directiva AuthorizedKeysFile. >>Y ya puestos comento que a mí también me están intentando entrar mediante >>un script cada 3 segundos con curiosos nombres como "harrypotter" y demás. >>La IP es la siguiente: >> 66.226.74.83 >> >>¿Alguien puede comprobar si le están intentando entrar desde esa IP? > Lo he comprobado, como ya le dicho antes a Ramiro, y no tengo ningún log de > intentos. > > Pese al comentario (de broma, claro) hecho antes de "ojo por ojo", lo mejor > es > prevenir que curar. No parecio tan en broma. De hecho recomende /no/ hacerlo - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlWpkw12RhFuGy4RAneXAJ42ZIvlBCmeHR6WTBq/TtijJhDFHACfdRJh 0w07ZHETBMoothNXDO0IF80= =KITw -END PGP SIGNATURE-
Re: Intento de intrusión
El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió: > Cuentanos algo mas de los intentos. ¿Porque no revisas los archivos de la lista?. Este hilo viene desde el sábado y se ha hablado bastante sobre esto. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgpiZ6atSQ28B.pgp Description: PGP signature
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: > Y ya puestos comento que a mí también me están intentando entrar mediante un > script cada 3 segundos con curiosos nombres como "harrypotter" y demás. La IP > es la siguiente: > 66.226.74.83 Cuentanos algo mas de los intentos. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlRxkw12RhFuGy4RAjqQAJ9xB6YQTMKXKdpbIja1qKbyoj6iIwCglgbd lw7OS7XAYZvxnuy3MAu12n4= =gKes -END PGP SIGNATURE-
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ramiro Aceves wrote: > Hola Pablo > Voy a hacerte caso y cambiaré el puerto al XX. Claro que si este intruso > hace un escaneo de puertos aparecerá ssh escuchando en XX y no > adelantaré nada. ¿O se me escapa algo? No. Al hacer escaneo de puertos, aparecera el servicio que el tenga asociado a ese puerto, si es que tiene alguno, caso contrario aparecera "unknown". En todo caso, si desea fervientemente atacarte, hara un telnet tu_host tu_puerto y alli se enterara que es ssh. Pero si no tienes acceso por contraseña, ni ninguna vulnerabilidad, tendra que trabajar realmente mucho para entrar. Por cierto, salvo que seas el FBI o tengas la BBDD de Visa de todo el planeta, dudo que alguien dedique 5 segundos a esto. De hecho, los intetnso que registras en tus logs no son de "personas" sino de gusanitos o programitas que se dedican a esosolo para encontrar a desprevenidos. >> Si creas la clave sin contraseña, podrás entrar directamente, y no es >> un fallo de seguridad. Hay gente que opina que si lo es, que aun asi, debieras poner contraseña para las llaves y tiene su logica. Claro que hablamos de servidores en los cuales la seguridad es algo realmente serio. >> Con todo esto lo que haces e ocultar tu servicio ssh al exterior y >> evitar que cualquiera pueda estar probando usuarios y contraseñas, que >> es lo que te está ocurriendo. En realidad no lo ocultas, pues sigue estando a la vista de todos. Solo se lo haces mas dificil a los gusanejos. > Respecto a la necesitdad del firewall, me dí cuenta de ello en el > momento que estaba observando el ataque. El servidor ssh está en la > Universidad y estoy entrando desde mi casa. Al hacer cat > /var/log/auth.log aparecían todos los intentos logeados de adivinar la > clave. En ese momento me acordé del único firewall que uso en mi casa: > Firestarter, pero claro, es en modo gráfico. Firestarter, es un front end grafico que finalmente te configuraiptables! >Como no es plan de > habilitar las conexiones X con el servidor ssh y añadir más > inseguridades, creo que ha llegado la hora de aprender iptables a pedal. > En ese momento quería inhabilitar los paquetes procedentes de esa IP y > fastidiar al hombre este pero claro, no tengo ni idea. # route add reject ip_molesta pero con eso solo logras hacerlo momentanemante, esa gente, por lo gral, usa ip dinamicas. > Si deshabilito > ssh me cierro a mí mismo la posibilidad de entrar hasta el lunes que > vaya por allí y encienda de nuevo la máquina. Me conecté a la IP con un > navegador y era una WEB en chino. ¿Hay alguna manera de echar a este > hombre sin iptables. Arriba te mande una. > Me dió miedo matar alguno de los procesos de sshd, > no fuera a ser que me fastidiase a mi mismo. juaz! Suicidio virtual! >> Por último, como dijo nosequien, la mejor defensa es un buen ataque. >> Usa nmap para ver los puertos de este individuo y podrás ver que tiene >> ssh abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías >> hacer lo mismo que él esta haciendo. Eso si que es inutil! - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlQGkw12RhFuGy4RAk/DAJ9dvOYifGsBwtRGI+d3/flBdNKdmgCfX4cs o1IckuVL1igZh0xXXd95cio= =VrDv -END PGP SIGNATURE-
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ramiro Aceves wrote: > Pablo Braulio wrote: > >>> Yo tambien me cuelgo del ofrecimiento, lo agradecere enormemente. >> >> >> >> Ya puestos, a mi también me vendría bien tenerlo en pdf. >> >> ¿Porque no lo cuelgas en algún sitio y nos pasas la url?. > > > Hola, > > Yo también me apunto, a mí también me están intentando entrar por ssh y > voy a ponerles una regla en iptables. Creo que llegó la hora de > aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-) De este tema se hablo hace un tiempo. Aprender iptables no esta anda mal, pero tampoco estaría mal aprender sobre ssh y su configuración. Relee los consejos que le dí al compañero. Iptables no hace magia. Ejemplo: cierras todo. Tienes un apache. no puedes filtrar el 80 para el apache. Tienes configurado el apache en modo proxy y no tienes squid configurado adecuadamenteallí no tienes iptables que te valga para evitar que te usen el squid ;) Cuidado con creer que los firewalls son toda la seguridad necesaria y hacen magia! > > Apr 9 12:19:48 localhost sshd[2614]: Illegal user ronald from > :::211.18.254.236 > Apr 9 12:19:51 localhost sshd[2616]: Illegal user ronald from > :::211.18.254.236 > Apr 9 12:19:53 localhost sshd[2619]: Illegal user ronald from > :::211.18.254.236 > Apr 9 12:19:56 localhost sshd[2621]: Illegal user dujoey from > :::211.18.254.236 > Apr 9 12:19:58 localhost sshd[2624]: Illegal user dujoey from > :::211.18.254.236 > Apr 9 12:20:01 localhost sshd[2626]: Illegal user dujoey from > :::211.18.254.236 > Apr 9 12:20:04 localhost sshd[2628]: Illegal user paul from > :::211.18.254.236 > Apr 9 12:20:06 localhost sshd[2630]: Illegal user paul from > :::211.18.254.236 > Apr 9 12:20:09 localhost sshd[2632]: Illegal user paul from > :::211.18.254.236 > > Saludos. > Ramiro. > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlHFkw12RhFuGy4RAkPQAKCGY638AKT4UP6fwRMQU2gDmHLiJgCeJk3Q Q2f8BMl0Ccs/6AzHKk3+Ov0= =Sq9W -END PGP SIGNATURE-
Re: Intento de intrusión
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Muammar Wadih El Khatib Rodriguez wrote: > Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes > de seguridad que provienen de una misma ip en china. Hice un > chkrootkit y no tengo nada fuera de lo normal, Espera, vamos por partes Correr un chkrootkit con resultados positivos, no es garantia de nada (recuerda que si alguien entro y tiene algo de sentido comun, una de las primeras cosas que hara es evitar que lo detectes...) > todo aparece como no > infectado. Ahora lo que me preocupa es que me parece que desde esa > dirección ip están tratando de sacarme el password del root, pues > salen muchos logines fallidos para el root en intervalos muy cortos y > precisos de tiempo (2 segundos para cada intervalo), el número de > intentos es alrededor de 80. Configura tu servicio de ssh de la siguiente manera: 1) Deshabilita el acceso a root 2) Muevelo a otro puerto distinto del 22 3) Habilita el acceso /solo/ a los usuarios que desees permitir 4) Habilita el acceso por intercambio de llaves 5) Deshabilita el acceso por contraseña. > Y para el usuario que uso yo comunmente > el comando w no muestra información luego de esos intentos de > intrusión. El comando w no hace exactamente eso... > Hice un ls -alF /home/usuario/.bash_history y los permisos andan > bien. No se han creado en mi sistema usuarios que desconozca. jejeje te repito: si tienes tu sistema vulnerable y alguien con cierta habilidad te esta visitando, no dejara que lo sepas...verdad? > > ¿Debería instalar algún firewall? Creo que esa pregunta debieras habertela hecho /antes/ de conectar tu PC al cyberespacio no crees? De todas maneras, este es el tipico ejemplo que yo pongo a los que recetan firewall para todo. > o que opinión me pueden dar para no > quedar vulnerable en frente de ataques o usuarios de ese tipo. Ahi te di unas cuantas. Yo creo que ya tienes visitas indeseadas, uniendo este correo tuyo con el de la "ip auotasignada", aunque no estoy 100% seguro ni tengo tantos elementos para afirmarlo. El consejo general, en este y en cualquier otro caso /siempre/ es el mismo: leer y comprender /antes/ de actuar! > > > -- > Muammar El Khatib. > Linux user: 403107. > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlARkw12RhFuGy4RApqfAJ9CfxcKcLGTOjU1S7DTTbSYtS2ttgCfdR9S J+y5h9aWKA/v//axBzPtMPU= =QXCi -END PGP SIGNATURE-
Re: Intento de intrusión
El Lunes, 10 de Abril de 2006 10:10, Guimi escribió: > Siempre he visto un problema a este sistema. Y es que debes autorizar a > cada cliente. Yo voy a muchos lugares distintos y quiero poder conectarme a > mi equipo desde cualquiera. Incluso cuando viajo. Y no puedo ponerme a > autorizar a que los equipos de cada cibercafe entren en mi equipo sin pedir > clave. > > Una alternativa sería llevar una clave en una memoria flash e ir > instalándola y desinstalandola, pero creo que al final es mejor que el > servidor ssh me solicite una clave y que ésta sea fuerte (a parte de no > permitir login de root). > > ¿A alguien se le ocurre una alternativa mejor? No todo es perfecto. Pero indiscutiblemente lo mas seguro es el uso de claves en lugar de contraseñas. La razón es muy simple: la clave es la que dispones, la contraseña es la que tu sabes. El problema es que con las contraseñas das opción a los intrusos a que "prueben", mientras que con la clave, primero te la tienen que robar. Lo único que se me ocurre que puedes hacer es llevarla en una memoria y usarla al conectarte en otros equipos con putty, cygwin, etc. Con el consiguiente peligro que esto conlleva de pierdas la memoria, o te olvides la clave en algún equipo de un cibercafé. Yo lo que te aconsejo es que uses la opción que mejor te vaya y que mayor seguridad te brinde. No es cuestión de poner tanta seguridad y no puedas entrar. ¿Te pondrías una megapuerta blindada en tu casa, con reconocimiento facial, de retina, tactil y diez cerraduras?. Pues lo mismo. De todos modos, como ya he dicho en otro mensaje, puedes limitar el acceso sólo a ciertos usuarios e incluso ponerlos dentro de un chroot. Esto último había olvidado comentarlo. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgpafSABVPyG2.pgp Description: PGP signature
Re: Intento de intrusión
- Original Message - From: "Ramiro Aceves" (...) > > RSAAuthentication yes > > PubkeyAuthentication yes > > AuthorizedKeysFile %h/.ssh/authorized_keys > > > > PasswordAuthentication no (para deshabilitar el logeo con password) > (...) > > Para deshabilitar el logeo de los clientes por medio de una contraseña, > > debes > > crear una clave en cada cliente que accede al servidor y luego copiarla en > > este. Siempre he visto un problema a este sistema. Y es que debes autorizar a cada cliente. Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo desde cualquiera. Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de cada cibercafe entren en mi equipo sin pedir clave. Una alternativa sería llevar una clave en una memoria flash e ir instalándola y desinstalandola, pero creo que al final es mejor que el servidor ssh me solicite una clave y que ésta sea fuerte (a parte de no permitir login de root). ¿A alguien se le ocurre una alternativa mejor? Saludos Guimi http://www.guimi.net -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
El dom, 09-04-2006 a las 13:16 +0200, Pablo Braulio escribió: > El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió: > > Hola, > > > > Yo también me apunto, a mí también me están intentando entrar por ssh y > > voy a ponerles una regla en iptables. Creo que llegó la hora de > > aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-) > > > > Apr 9 12:19:48 localhost sshd[2614]: Illegal user ronald from > > > > :::211.18.254.236 > > > > Apr 9 12:19:51 localhost sshd[2616]: Illegal user ronald from > > > > :::211.18.254.236 > > > > Apr 9 12:19:53 localhost sshd[2619]: Illegal user ronald from > > > > :::211.18.254.236 > > > > Apr 9 12:19:56 localhost sshd[2621]: Illegal user dujoey from > > > > :::211.18.254.236 > > > > Apr 9 12:19:58 localhost sshd[2624]: Illegal user dujoey from > > > > :::211.18.254.236 > > > > Apr 9 12:20:01 localhost sshd[2626]: Illegal user dujoey from > > > > :::211.18.254.236 > > > > Apr 9 12:20:04 localhost sshd[2628]: Illegal user paul from > > > > :::211.18.254.236 > > > > Apr 9 12:20:06 localhost sshd[2630]: Illegal user paul from > > > > :::211.18.254.236 > > > > Apr 9 12:20:09 localhost sshd[2632]: Illegal user paul from > > > > :::211.18.254.236 > > > > Saludos. > > Ramiro. > > > Hola Ramiro. > > Aquí el consejo de sabios, je,je. Es broma. :-D > > En mi opinión deberías hacer dos cosas: > Asegurar ssh (como ya te han dicho) > y configurar tu firewall para evitar escaneos, bloquear ips, etc. > > Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor > ssh. Aquí tienes información: > > http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/ > > Aunque si buscas en google verás que hay información sobre esto. > > http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2005-09,GGGL:es&q=ssh+fuerza+bruta > > Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por > defecto > 22), deshabilites el acceso a root y uses claves en lugar de password. > > Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente: > > Port XX (pones el puerto que quieras) > > PermitRootLogin no (para evitar logeos de root) > > RSAAuthentication yes > PubkeyAuthentication yes > AuthorizedKeysFile %h/.ssh/authorized_keys > > PasswordAuthentication no (para deshabilitar el logeo con password) > > Creo que no me dejo nada. > > Para deshabilitar el logeo de los clientes por medio de una contraseña, debes > crear una clave en cada cliente que accede al servidor y luego copiarla en > este. > > Para eso haces en el cliente: > > $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man) > > Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar > el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts > > Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al > equipo que tenga esa clave, sin permitir poner la contraseña a aquellos > equipos que no disponen de esta. > > Si creas la clave sin contraseña, podrás entrar directamente, y no es un > fallo > de seguridad. > > Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que > cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está > ocurriendo. > > Respecto al firewall. Siempre es interesante, por no decir imprescindible, > usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para > bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre > otras cosas, claro. > > Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar > intentos de acceso y luego crear la regla de iptables necesaria para bloquear > esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece > demasiado útil bloquear ips, pues estas en muchos casos son dinámicas. > > Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap > para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y > curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él > esta haciendo. > > Que tengas suerte. > > -- > Saludos. > Pablo > > Jabber: bruli(at)myjabber(to)net > Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D Hola, Debo añadir (si no lo han dicho ya por que no he seguido todo el hilo... solo he leído esta respuesta ya que ha sido muy reconocida) debo añadir decía, por tanto... que se use FAIL2BAN para poder banear intentos de conexiones maliciosas por fuerza bruta, esto es... al 3er intento por ejemplo o al número de logueo equis, capar esa dirección ip durante 30 minutos, 30 días, 3 años o para siempre en cualquiera de los puertos de nuestro ordenador. Y será muy dificil que con 4 intentos por ejemplo, acierten una clave de seguridad media o alta. (Que nadie me ponga god, zero_curl the_mentor o similares xD). Esto nos es util tanto para ftp, como ssh
Re: Intento de intrusión (Manual Iptables PDF)
Iñaki wrote: He colgado el manual de Iptables en formato PDF en la siguiente URL: http://www.euskalnet.net/ibc/Iptables.pdf Muchas gracias Iñaki por colgar el manual. Es estupendo. Saludos. Ramiro. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
No es molestía. Pero he de advertirte que esto no funciona usandolas tal cual. Son simplemente un complemento al script que te crees para tu firewall. Hola Pablo, Tomado nota de todo y reservado para posterior y detallado estudio ;-) Muchas gracias. Ramiro. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
El Domingo, 9 de Abril de 2006 19:15, Muammar Wadih El Khatib Rodriguez escribió: > Hola, soy quien envío el correo original. Muchas gracias por todas las > recomendaciones. He aprendido mucho con todo esto. Yo desactive el > acceso root por ssh, pero ahora el tipo este de china esta haciendo > fuerza bruta para nombres de usuarios en específico. Creo que tienen > razón, bloquear ip's no tiene mucho sentido porque son dinámicas en la > mayoría de los casos. La persona que trata de meterse a mi sistema usa > red hat 9.0 y tiene los puertos 21 23 25 80 110 111 443 abiertos. > Este número de puertos se corresponde para cada una de estas > "distintas" ip's de donde tratan de meterse, al igual que la distro > que usa (red hat), a mi sistema (es decir, es el mismo tipo, o por lo > menos eso creo). Y si es verdad, esa persona no tiene nada de > seguridad en su computador, tiene el telnet, el ssh con acceso para > root entre otras vulnerabilidades. Es cierto una buena defenza en > ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que > me hace, cada cosa se la devuelvo. > > Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos > links que enviaron. Espero que no me acusen de listillo, pero creo que es de japon. # whois 211.18.254.236 [ JPNIC database provides information regarding IP address and ASN. Its use ] [ is restricted to network administration purposes. For further information, ] [ use 'whois -h whois.nic.ad.jp help'. To only display English output,] [ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'. ] Network Information: a. [Network Number] 211.18.254.224/28 b. [Network Name] AVION g. [Organization] AVION Co.,Ltd m. [Administrative Contact] KI452JP n. [Technical Contact] AH100JP p. [Nameserver] [Assigned Date] 2002/08/23 [Return Date] [Last Update] 2002/08/23 11:23:06(JST) Less Specific Info. -- KDDI CORPORATION [Allocation]211.18.0.0/16 DION (KDDI CORPORATION) SUBA-161-TKY [Sub Allocation] 211.18.254.0/24 More Specific Info. Y si usas algunas de la utilidades que se encuentran googleando (como traceroute, etc), lo verás mas claro. Sólo digo esto para que la gente sepa de estas útiles opciones. -- No match!! pabloportatil:/h -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgpeRwqBZRPh3.pgp Description: PGP signature
Re: Intento de intrusión (Manual Iptables PDF)
El Domingo, 9 de Abril de 2006 19:29, Iván Forcada Atienza escribió: > > > > He colgado el manual de Iptables en formato PDF en la siguiente URL: > > > >http://www.euskalnet.net/ibc/Iptables.pdf > > Son casi 6 megas... ahi va un mirror, para que no se resienta demasiado > tu adsl ;-), No es mi servidor, es un hosting cutrillo que me "regala" mi ISP. ;) > aunque en mi opinion se ve mucho mejor en html que en pdf, > pero weno ;-). Por supuesto, pero como pretendas imprimirlo en formato HTML te hernias. Yo lo pasé a PDF precisamente para imprimirlo. -- y hasta aquí puedo leer...
Re: Intento de intrusión
Hola, soy quien envío el correo original. Muchas gracias por todas las recomendaciones. He aprendido mucho con todo esto. Yo desactive el acceso root por ssh, pero ahora el tipo este de china esta haciendo fuerza bruta para nombres de usuarios en específico. Creo que tienen razón, bloquear ip's no tiene mucho sentido porque son dinámicas en la mayoría de los casos. La persona que trata de meterse a mi sistema usa red hat 9.0 y tiene los puertos 21 23 25 80 110 111 443 abiertos. Este número de puertos se corresponde para cada una de estas "distintas" ip's de donde tratan de meterse, al igual que la distro que usa (red hat), a mi sistema (es decir, es el mismo tipo, o por lo menos eso creo). Y si es verdad, esa persona no tiene nada de seguridad en su computador, tiene el telnet, el ssh con acceso para root entre otras vulnerabilidades. Es cierto una buena defenza en ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que me hace, cada cosa se la devuelvo. Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos links que enviaron. -- Muammar El Khatib. Linux user: 403107.
Re: Intento de intrusión
[Sun, 09 Apr 2006 12:28:08 -0400] - m: > >precisos de tiempo (2 segundos para cada intervalo), el número de > >intentos es alrededor de 80. Y para el usuario que uso yo comunmente > > Hay una manera de usar iptables para que ese IP que trata mas de X veces sea > bloqueado por X segundos, si alguien sabe de algún > tutorial que explique eso claramente, que nos de el enlace por favor. > Gracias. Chao. No es exactamente lo mismo, pero lo que yo hago es no dejar mas de 5 (valor configurable) intentos de acceso ssh por minuto tambien configurable). De esa manera tiras al traste cualquier intento de fuerza bruta. No sé de ningún manual, pero googleando seguro que sale algo... Os pego un cachejo representativo, por si a alguien le sirve de algo. # Limite global para el logging en el Logging-Chains LOGLIMIT="2/s" # Limite de rafaga para el logging en el Logging-Chains LOGLIMITBURST="10" [...] #Cadena para el logging de intentos de ataque al puerto SSH echo "Creando tabla LSSATTACK..." $IPTABLES -N LSSHATTACK $IPTABLES -A LSSHATTACK -m limit --limit $LOGLIMIT --limit-burst $LOGLIMITBURST -j LOG --log-prefix "fp=SSHATTACK:1 a=DROP" $IPTABLES -A LSSHATTACK -j DROP #Cadena SSHATTACK - Controla ataques al puerto 22 echo "Creando tabla SSHATTACK..." $IPTABLES -N SSHATTACK $IPTABLES -A SSHATTACK -p tcp --dport 22 -m state --state NEW -m recent --name ssh --rsource --update --seconds 60 --hitcount 5 -j LSSHATTACK $IPTABLES -A SSHATTACK -p tcp --dport 22 -m state --state NEW -m recent --name ssh --rsource --set -j RETURN [...] #CONEXIONES ENTRANTES al puerto 22, SSH - logueo y tiro si es ataque, y si no pasa para que se decida que hacer posteriormente $IPTABLES -A INPUT -i $IF_INET -j SSHATTACK [...] > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- ___ Iván Forcada Atienza: correo: [EMAIL PROTECTED] --- "Software is like sex: it's better when it's free" (Linus Torvalds) pgpy6oxe0fF3H.pgp Description: PGP signature
Re: Intento de intrusión
precisos de tiempo (2 segundos para cada intervalo), el número de intentos es alrededor de 80. Y para el usuario que uso yo comunmente Hay una manera de usar iptables para que ese IP que trata mas de X veces sea bloqueado por X segundos, si alguien sabe de algún tutorial que explique eso claramente, que nos de el enlace por favor. Gracias. Chao. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
Muammar Wadih El Khatib Rodriguez escribió: > Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes > de seguridad que provienen de una misma ip en china. Hice un > chkrootkit y no tengo nada fuera de lo normal, todo aparece como no > infectado. Ahora lo que me preocupa es que me parece que desde esa > dirección ip están tratando de sacarme el password del root, pues > salen muchos logines fallidos para el root en intervalos muy cortos y > precisos de tiempo (2 segundos para cada intervalo), el número de > intentos es alrededor de 80. Y para el usuario que uso yo comunmente > el comando w no muestra información luego de esos intentos de > intrusión. > > Yo hice algo drástico cambie el puerto del ssh y no volví a recibir ataques. > > -- José Luis Regalado Debian GNU/Linux User 280381. San Cristóbal Edo. Táchira - Venezuela 0276-766.72.20 0416-373.75.15 0414-710.48.57 FINGERPRINT=27AB 7E3A F77F 58C8 A0DB 57AD 9912 CF32 9C2E 001E "Donde hay ignorancia hay fanatismo donde hay fanatismo no hay tolerancia, donde no hay tolerancia no hay _paz_" -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
El Domingo, 9 de Abril de 2006 18:17, Iñaki escribió: > Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería > añadir que para el tema de exportar la clave se puede usar el > comando "ssh-copy-id" que te evita andar copiando de un sitio a otro y > demás, alguna vez lo he usado y te ahorra tiempo. > Mira que bien. No lo conocía. Yo para esto usaba scp o sftp y luego con un cat archivo >> .ssh/know_hosts, lo añadía. > Y ya puestos comento que a mí también me están intentando entrar mediante > un script cada 3 segundos con curiosos nombres como "harrypotter" y demás. > La IP es la siguiente: > 66.226.74.83 > > ¿Alguien puede comprobar si le están intentando entrar desde esa IP? Lo he comprobado, como ya le dicho antes a Ramiro, y no tengo ningún log de intentos. Pese al comentario (de broma, claro) hecho antes de "ojo por ojo", lo mejor es prevenir que curar. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgpcETFyr6BNv.pgp Description: PGP signature
Re: Intento de intrusión (Manual Iptables PDF)
El Domingo, 9 de Abril de 2006 01:51, Felix Perez escribió: > El 8/04/06, Iñaki<[EMAIL PROTECTED]> escribió: > > El Sábado, 8 de Abril de 2006 18:54, Muammar Wadih El Khatib Rodriguez > > > > escribió: > > > Estoy leyendo el man de iptables. Muchas gracias Iñaki. > > > > Léelo a fondo, no obstante te voy a recomendar el que para mí ha sido el > > más didáctico de los manuales sobre Iptables que he visto (además en > > español): > > http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html > > > > Tómatelo con calma para aprenderlo bien, merece la pena. > > (Si te interesa imprimirlo lo pasé a PDF hace tiempo, sólo tienes que > > pedírmelo). > > Iñaki me cuelgo de tu ofrecimiento, podrias enviarmelo a mi tambien, > gracias de antemano. He colgado el manual de Iptables en formato PDF en la siguiente URL: http://www.euskalnet.net/ibc/Iptables.pdf -- y hasta aquí puedo leer...
Re: Intento de intrusión
El Domingo, 9 de Abril de 2006 13:16, Pablo Braulio escribió: > El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió: > Hola Ramiro. > > Aquí el consejo de sabios, je,je. Es broma. :-D > > En mi opinión deberías hacer dos cosas: > Asegurar ssh (como ya te han dicho) > y configurar tu firewall para evitar escaneos, bloquear ips, etc. > > Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor > ssh. Aquí tienes información: > > http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/ > > Aunque si buscas en google verás que hay información sobre esto. > > http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:20 >05-09,GGGL:es&q=ssh+fuerza+bruta > > Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por > defecto 22), deshabilites el acceso a root y uses claves en lugar de > password. > > Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente: > > Port XX (pones el puerto que quieras) > > PermitRootLogin no (para evitar logeos de root) > > RSAAuthentication yes > PubkeyAuthentication yes > AuthorizedKeysFile %h/.ssh/authorized_keys > > PasswordAuthentication no (para deshabilitar el logeo con password) > > Creo que no me dejo nada. > > Para deshabilitar el logeo de los clientes por medio de una contraseña, > debes crear una clave en cada cliente que accede al servidor y luego > copiarla en este. > > Para eso haces en el cliente: > > $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man) > > Eso te crea un archivo id_rsa.pub (tu clave pública), que debes > añadir/copiar el contenido de este en el path de tu servidor > /home/usuario.ssh/know_hosts > > Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al > equipo que tenga esa clave, sin permitir poner la contraseña a aquellos > equipos que no disponen de esta. > > Si creas la clave sin contraseña, podrás entrar directamente, y no es un > fallo de seguridad. > > Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar > que cualquiera pueda estar probando usuarios y contraseñas, que es lo que > te está ocurriendo. > > Respecto al firewall. Siempre es interesante, por no decir imprescindible, > usarlo. Te aconsejo que mires el manual que han puesto, y lo configures > para bloquear las ips que te tocan las narices y bloquees escaneos de > redes. Entre otras cosas, claro. > > Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar > intentos de acceso y luego crear la regla de iptables necesaria para > bloquear esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no > me parece demasiado útil bloquear ips, pues estas en muchos casos son > dinámicas. > > Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa > nmap para ver los puertos de este individuo y podrás ver que tiene ssh > abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo > mismo que él esta haciendo. > > Que tengas suerte. Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería añadir que para el tema de exportar la clave se puede usar el comando "ssh-copy-id" que te evita andar copiando de un sitio a otro y demás, alguna vez lo he usado y te ahorra tiempo. Y ya puestos comento que a mí también me están intentando entrar mediante un script cada 3 segundos con curiosos nombres como "harrypotter" y demás. La IP es la siguiente: 66.226.74.83 ¿Alguien puede comprobar si le están intentando entrar desde esa IP? -- y hasta aquí puedo leer...
Re: Intento de intrusión
Hola Pablo Hola Ramiro. Aquí el consejo de sabios, je,je. Es broma. :-D Se agradece el email recibido y todos los consejos. En mi opinión deberías hacer dos cosas: Asegurar ssh (como ya te han dicho) y configurar tu firewall para evitar escaneos, bloquear ips, etc. ¡En ello estamos gracias a tu email! Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor ssh. Aquí tienes información: http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/ Aunque si buscas en google verás que hay información sobre esto. http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2005-09,GGGL:es&q=ssh+fuerza+bruta Efectivamente ese es el ataque. Aunque veo que teniendo buenas claves no debería haber problema. Sería una verdadera casualidad que adivinase la clave de un usuario. En ese sistema sólo hay dos usuarios y con buenas claves. Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por defecto 22), deshabilites el acceso a root y uses claves en lugar de password. Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente: Port XX (pones el puerto que quieras) Voy a hacerte caso y cambiaré el puerto al XX. Claro que si este intruso hace un escaneo de puertos aparecerá ssh escuchando en XX y no adelantaré nada. ¿O se me escapa algo? PermitRootLogin no (para evitar logeos de root) Acabo de hacer eso ahora miso. Así si quiere ser root al menos tiene que pasar por ser usuario normal antes... ;-) RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys PasswordAuthentication no (para deshabilitar el logeo con password) Esto ya es más sofisticado y me lo voy a leer con calma, pero tiene muy buena pinta. Lo desconocía completamente. Creo que no me dejo nada. Para deshabilitar el logeo de los clientes por medio de una contraseña, debes crear una clave en cada cliente que accede al servidor y luego copiarla en este. Para eso haces en el cliente: $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man) Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al equipo que tenga esa clave, sin permitir poner la contraseña a aquellos equipos que no disponen de esta. Si creas la clave sin contraseña, podrás entrar directamente, y no es un fallo de seguridad. Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está ocurriendo. Respecto al firewall. Siempre es interesante, por no decir imprescindible, usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre otras cosas, claro. Respecto a la necesitdad del firewall, me dí cuenta de ello en el momento que estaba observando el ataque. El servidor ssh está en la Universidad y estoy entrando desde mi casa. Al hacer cat /var/log/auth.log aparecían todos los intentos logeados de adivinar la clave. En ese momento me acordé del único firewall que uso en mi casa: Firestarter, pero claro, es en modo gráfico. Como no es plan de habilitar las conexiones X con el servidor ssh y añadir más inseguridades, creo que ha llegado la hora de aprender iptables a pedal. En ese momento quería inhabilitar los paquetes procedentes de esa IP y fastidiar al hombre este pero claro, no tengo ni idea. Si deshabilito ssh me cierro a mí mismo la posibilidad de entrar hasta el lunes que vaya por allí y encienda de nuevo la máquina. Me conecté a la IP con un navegador y era una WEB en chino. ¿Hay alguna manera de echar a este hombre sin iptables. Me dió miedo matar alguno de los procesos de sshd, no fuera a ser que me fastidiase a mi mismo. Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar intentos de acceso y luego crear la regla de iptables necesaria para bloquear esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece demasiado útil bloquear ips, pues estas en muchos casos son dinámicas. Gracias, de momento no lo necesito, eso es mucho más sofisticado ;-) Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él esta haciendo. Gracias por tu ayuda Pablo. Que tengas suerte. Muchas gracias. Saludos, si tengo alguna duda de iptables ya se donde acudir. Ramiro. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió: > Hola, > > Yo también me apunto, a mí también me están intentando entrar por ssh y > voy a ponerles una regla en iptables. Creo que llegó la hora de > aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-) > > Apr 9 12:19:48 localhost sshd[2614]: Illegal user ronald from > > :::211.18.254.236 > > Apr 9 12:19:51 localhost sshd[2616]: Illegal user ronald from > > :::211.18.254.236 > > Apr 9 12:19:53 localhost sshd[2619]: Illegal user ronald from > > :::211.18.254.236 > > Apr 9 12:19:56 localhost sshd[2621]: Illegal user dujoey from > > :::211.18.254.236 > > Apr 9 12:19:58 localhost sshd[2624]: Illegal user dujoey from > > :::211.18.254.236 > > Apr 9 12:20:01 localhost sshd[2626]: Illegal user dujoey from > > :::211.18.254.236 > > Apr 9 12:20:04 localhost sshd[2628]: Illegal user paul from > > :::211.18.254.236 > > Apr 9 12:20:06 localhost sshd[2630]: Illegal user paul from > > :::211.18.254.236 > > Apr 9 12:20:09 localhost sshd[2632]: Illegal user paul from > > :::211.18.254.236 > > Saludos. > Ramiro. Hola Ramiro. Aquí el consejo de sabios, je,je. Es broma. :-D En mi opinión deberías hacer dos cosas: Asegurar ssh (como ya te han dicho) y configurar tu firewall para evitar escaneos, bloquear ips, etc. Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor ssh. Aquí tienes información: http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/ Aunque si buscas en google verás que hay información sobre esto. http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2005-09,GGGL:es&q=ssh+fuerza+bruta Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por defecto 22), deshabilites el acceso a root y uses claves en lugar de password. Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente: Port XX (pones el puerto que quieras) PermitRootLogin no (para evitar logeos de root) RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys PasswordAuthentication no (para deshabilitar el logeo con password) Creo que no me dejo nada. Para deshabilitar el logeo de los clientes por medio de una contraseña, debes crear una clave en cada cliente que accede al servidor y luego copiarla en este. Para eso haces en el cliente: $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man) Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al equipo que tenga esa clave, sin permitir poner la contraseña a aquellos equipos que no disponen de esta. Si creas la clave sin contraseña, podrás entrar directamente, y no es un fallo de seguridad. Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está ocurriendo. Respecto al firewall. Siempre es interesante, por no decir imprescindible, usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre otras cosas, claro. Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar intentos de acceso y luego crear la regla de iptables necesaria para bloquear esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece demasiado útil bloquear ips, pues estas en muchos casos son dinámicas. Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él esta haciendo. Que tengas suerte. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgpBfbjjYTzzO.pgp Description: PGP signature
Re: Intento de intrusión
Pablo Braulio wrote: Yo tambien me cuelgo del ofrecimiento, lo agradecere enormemente. Ya puestos, a mi también me vendría bien tenerlo en pdf. ¿Porque no lo cuelgas en algún sitio y nos pasas la url?. Hola, Yo también me apunto, a mí también me están intentando entrar por ssh y voy a ponerles una regla en iptables. Creo que llegó la hora de aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-) Apr 9 12:19:48 localhost sshd[2614]: Illegal user ronald from :::211.18.254.236 Apr 9 12:19:51 localhost sshd[2616]: Illegal user ronald from :::211.18.254.236 Apr 9 12:19:53 localhost sshd[2619]: Illegal user ronald from :::211.18.254.236 Apr 9 12:19:56 localhost sshd[2621]: Illegal user dujoey from :::211.18.254.236 Apr 9 12:19:58 localhost sshd[2624]: Illegal user dujoey from :::211.18.254.236 Apr 9 12:20:01 localhost sshd[2626]: Illegal user dujoey from :::211.18.254.236 Apr 9 12:20:04 localhost sshd[2628]: Illegal user paul from :::211.18.254.236 Apr 9 12:20:06 localhost sshd[2630]: Illegal user paul from :::211.18.254.236 Apr 9 12:20:09 localhost sshd[2632]: Illegal user paul from :::211.18.254.236 Saludos. Ramiro. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Intento de intrusión
> Yo tambien me cuelgo del ofrecimiento, lo agradecere enormemente. Ya puestos, a mi también me vendría bien tenerlo en pdf. ¿Porque no lo cuelgas en algún sitio y nos pasas la url?. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D pgpKN4VTXqsqd.pgp Description: PGP signature
RE: Intento de intrusión
-Mensaje original- De: Felix Perez [mailto:[EMAIL PROTECTED] Enviado el: Sábado, 08 de Abril de 2006 19:52 Para: Iñaki CC: debian-user-spanish@lists.debian.org Asunto: Re: Intento de intrusión El 8/04/06, Iñaki<[EMAIL PROTECTED]> escribió: > El Sábado, 8 de Abril de 2006 18:54, Muammar Wadih El Khatib Rodriguez > escribió: > > > Estoy leyendo el man de iptables. Muchas gracias Iñaki. > > Léelo a fondo, no obstante te voy a recomendar el que para mí ha sido > el más didáctico de los manuales sobre Iptables que he visto (además en español): > http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html > > Tómatelo con calma para aprenderlo bien, merece la pena. > (Si te interesa imprimirlo lo pasé a PDF hace tiempo, sólo tienes que > pedírmelo). > > > Yo tambien me cuelgo del ofrecimiento, lo agradecere enormemente. smime.p7s Description: S/MIME cryptographic signature
Re: Intento de intrusión
El 8/04/06, Felix Perez<[EMAIL PROTECTED]> escribió: > El 8/04/06, Iñaki<[EMAIL PROTECTED]> escribió: > > El Sábado, 8 de Abril de 2006 18:54, Muammar Wadih El Khatib Rodriguez > > escribió: > > > > > Estoy leyendo el man de iptables. Muchas gracias Iñaki. > > > > Léelo a fondo, no obstante te voy a recomendar el que para mí ha sido el más > > didáctico de los manuales sobre Iptables que he visto (además en español): > > http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html > > > > Tómatelo con calma para aprenderlo bien, merece la pena. > > (Si te interesa imprimirlo lo pasé a PDF hace tiempo, sólo tienes que > > pedírmelo). > > > > > > > Iñaki me cuelgo de tu ofrecimiento, podrias enviarmelo a mi tambien, > gracias de antemano. > Disculpa se fue al personal. > > > > > > > > > > > -- > > y hasta aquí puedo leer... > > > > > > > -- > usuario linux #274354 > -- usuario linux #274354
Re: Intento de intrusión
El 8/04/06, Iñaki<[EMAIL PROTECTED]> escribió: > El Sábado, 8 de Abril de 2006 18:54, Muammar Wadih El Khatib Rodriguez > escribió: > > > Estoy leyendo el man de iptables. Muchas gracias Iñaki. > > Léelo a fondo, no obstante te voy a recomendar el que para mí ha sido el más > didáctico de los manuales sobre Iptables que he visto (además en español): > http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html > > Tómatelo con calma para aprenderlo bien, merece la pena. > (Si te interesa imprimirlo lo pasé a PDF hace tiempo, sólo tienes que > pedírmelo). > > > Iñaki me cuelgo de tu ofrecimiento, podrias enviarmelo a mi tambien, gracias de antemano. > > > > > -- > y hasta aquí puedo leer... > > -- usuario linux #274354
Re: Intento de intrusión
On 4/8/06, Iñaki <[EMAIL PROTECTED]> wrote: > El Sábado, 8 de Abril de 2006 18:54, Muammar Wadih El Khatib Rodriguez > escribió: > > On 4/8/06, Iñaki <[EMAIL PROTECTED]> wrote: > > > El Sábado, 8 de Abril de 2006 18:42, Muammar Wadih El Khatib Rodriguez > > > > > > escribió: > > > > Oye, pues si por ssh y por el telnet. Voy a tratar de configurar mejor > > > > el telnet y el ssh. De todas formas si no puedo configurar bien telnet > > > > lo elimino. > > > > > > Si no necesitas telnet por nada especial sencillamente quítalo > > > urgentemente. Si necesitas acceder desde algún Windows siempre puedes > > > instalar puty en el Windows para tener un cliente SSH. > > > > > > > PD. Voy a leer que firewall instalar y cómo educarlo bien. Saludos > > > > > > Busca manuales de Iptables, hay unos 15 millones ;) > > > > > > > > > > > > -- > > > y hasta aquí puedo leer... > > > > Ya desinstale el telnet ;), y desactive el acceso de root por ssh. > > Bien hecho. > > > > Estoy leyendo el man de iptables. Muchas gracias Iñaki. > > Léelo a fondo, no obstante te voy a recomendar el que para mí ha sido el más > didáctico de los manuales sobre Iptables que he visto (además en español): > http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html > > Tómatelo con calma para aprenderlo bien, merece la pena. > (Si te interesa imprimirlo lo pasé a PDF hace tiempo, sólo tienes que > pedírmelo). > > > > > > > > -- > y hasta aquí puedo leer... > > Si no es molestia, envía el pdf. Gracias de nuevo. -- Muammar El Khatib. Linux user: 403107.
Re: Intento de intrusión
El Sábado, 8 de Abril de 2006 18:54, Muammar Wadih El Khatib Rodriguez escribió: > On 4/8/06, Iñaki <[EMAIL PROTECTED]> wrote: > > El Sábado, 8 de Abril de 2006 18:42, Muammar Wadih El Khatib Rodriguez > > > > escribió: > > > Oye, pues si por ssh y por el telnet. Voy a tratar de configurar mejor > > > el telnet y el ssh. De todas formas si no puedo configurar bien telnet > > > lo elimino. > > > > Si no necesitas telnet por nada especial sencillamente quítalo > > urgentemente. Si necesitas acceder desde algún Windows siempre puedes > > instalar puty en el Windows para tener un cliente SSH. > > > > > PD. Voy a leer que firewall instalar y cómo educarlo bien. Saludos > > > > Busca manuales de Iptables, hay unos 15 millones ;) > > > > > > > > -- > > y hasta aquí puedo leer... > > Ya desinstale el telnet ;), y desactive el acceso de root por ssh. Bien hecho. > Estoy leyendo el man de iptables. Muchas gracias Iñaki. Léelo a fondo, no obstante te voy a recomendar el que para mí ha sido el más didáctico de los manuales sobre Iptables que he visto (además en español): http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html Tómatelo con calma para aprenderlo bien, merece la pena. (Si te interesa imprimirlo lo pasé a PDF hace tiempo, sólo tienes que pedírmelo). -- y hasta aquí puedo leer...
Re: Intento de intrusión
On 4/8/06, Iñaki <[EMAIL PROTECTED]> wrote: > El Sábado, 8 de Abril de 2006 18:42, Muammar Wadih El Khatib Rodriguez > escribió: > > Oye, pues si por ssh y por el telnet. Voy a tratar de configurar mejor > > el telnet y el ssh. De todas formas si no puedo configurar bien telnet > > lo elimino. > > Si no necesitas telnet por nada especial sencillamente quítalo urgentemente. > Si necesitas acceder desde algún Windows siempre puedes instalar puty en el > Windows para tener un cliente SSH. > > > > PD. Voy a leer que firewall instalar y cómo educarlo bien. Saludos > > Busca manuales de Iptables, hay unos 15 millones ;) > > > > -- > y hasta aquí puedo leer... > > Ya desinstale el telnet ;), y desactive el acceso de root por ssh. Estoy leyendo el man de iptables. Muchas gracias Iñaki. -- Muammar El Khatib. Linux user: 403107.
Re: Intento de intrusión
El Sábado, 8 de Abril de 2006 18:42, Muammar Wadih El Khatib Rodriguez escribió: > Oye, pues si por ssh y por el telnet. Voy a tratar de configurar mejor > el telnet y el ssh. De todas formas si no puedo configurar bien telnet > lo elimino. Si no necesitas telnet por nada especial sencillamente quítalo urgentemente. Si necesitas acceder desde algún Windows siempre puedes instalar puty en el Windows para tener un cliente SSH. > PD. Voy a leer que firewall instalar y cómo educarlo bien. Saludos Busca manuales de Iptables, hay unos 15 millones ;) -- y hasta aquí puedo leer...
Re: Intento de intrusión
On 4/8/06, Iñaki <[EMAIL PROTECTED]> wrote: > El Sábado, 8 de Abril de 2006 18:08, Muammar Wadih El Khatib Rodriguez > escribió: > > Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes > > de seguridad que provienen de una misma ip en china. Hice un > > chkrootkit y no tengo nada fuera de lo normal, todo aparece como no > > infectado. Ahora lo que me preocupa es que me parece que desde esa > > dirección ip están tratando de sacarme el password del root, pues > > salen muchos logines fallidos para el root en intervalos muy cortos y > > precisos de tiempo (2 segundos para cada intervalo), el número de > > intentos es alrededor de 80. > > Deberías especificar qué mecanismo usan para intentar loguearse en tu sistema. > Supongo que es SSH por lo que yo te recomiendo ENCARECIDAMENTE que > deshabilites la posibilidad de loguarte como root por SSH (revisa > el /etc/ssh/sshd_config, pon "no" en la opción correspondiente y reinicia el > servicio SSH). > > > > > Y para el usuario que uso yo comunmente > > el comando w no muestra información luego de esos intentos de > > intrusión. > > Hice un ls -alF /home/usuario/.bash_history y los permisos andan > > bien. No se han creado en mi sistema usuarios que desconozca. > > Todo eso que dices podrían haberlo modificado y camuflado. No quiero alertarte > ni mucho menos, pero no es nada del otro mundo hacer una tarea de cron que a > una determinada hora te haga un estropicio en tu ordenador y tras ello > elimine todos los rastros e incluso la propia tarea de cron. > > > > > ¿Debería instalar algún firewall? > > Sí, siempre. > > > > o que opinión me pueden dar para no > > quedar vulnerable en frente de ataques o usuarios de ese tipo. > > Un buen firewall y SOBRE TODO unas buenas claves en tus usuarios. Sin olvidar > lo que te decía al principio de deshabilitar el acceso por SSH como root. > > > > -- > y hasta aquí puedo leer... > > Oye, pues si por ssh y por el telnet. Voy a tratar de configurar mejor el telnet y el ssh. De todas formas si no puedo configurar bien telnet lo elimino. Otra cosa que andube leyendo, y de hecho bajé, es un script que busca las contraseñas por fuerza bruta y utiliza pop3 si esta disponible en el servidor remoto. Debo configurar mejor mi pop3 también. Muchas gracias por contestarme. PD. Voy a leer que firewall instalar y cómo educarlo bien. Saludos -- Muammar El Khatib. Linux user: 403107.
Re: Intento de intrusión
El Sábado, 8 de Abril de 2006 18:08, Muammar Wadih El Khatib Rodriguez escribió: > Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes > de seguridad que provienen de una misma ip en china. Hice un > chkrootkit y no tengo nada fuera de lo normal, todo aparece como no > infectado. Ahora lo que me preocupa es que me parece que desde esa > dirección ip están tratando de sacarme el password del root, pues > salen muchos logines fallidos para el root en intervalos muy cortos y > precisos de tiempo (2 segundos para cada intervalo), el número de > intentos es alrededor de 80. Deberías especificar qué mecanismo usan para intentar loguearse en tu sistema. Supongo que es SSH por lo que yo te recomiendo ENCARECIDAMENTE que deshabilites la posibilidad de loguarte como root por SSH (revisa el /etc/ssh/sshd_config, pon "no" en la opción correspondiente y reinicia el servicio SSH). > Y para el usuario que uso yo comunmente > el comando w no muestra información luego de esos intentos de > intrusión. > Hice un ls -alF /home/usuario/.bash_history y los permisos andan > bien. No se han creado en mi sistema usuarios que desconozca. Todo eso que dices podrían haberlo modificado y camuflado. No quiero alertarte ni mucho menos, pero no es nada del otro mundo hacer una tarea de cron que a una determinada hora te haga un estropicio en tu ordenador y tras ello elimine todos los rastros e incluso la propia tarea de cron. > ¿Debería instalar algún firewall? Sí, siempre. > o que opinión me pueden dar para no > quedar vulnerable en frente de ataques o usuarios de ese tipo. Un buen firewall y SOBRE TODO unas buenas claves en tus usuarios. Sin olvidar lo que te decía al principio de deshabilitar el acceso por SSH como root. -- y hasta aquí puedo leer...