subject:"Re\: Intento de intrusión"

El Lunes, 10 de Abril de 2006 10:10, Guimi escribió:
 Siempre he visto un problema a este sistema. Y es que debes autorizar a
 cada cliente. Yo voy a muchos lugares distintos y quiero poder conectarme a
 mi equipo desde cualquiera. Incluso cuando viajo. Y no puedo ponerme a
 autorizar a que los equipos de cada cibercafe entren en mi equipo sin pedir
 clave.

 Una alternativa sería llevar una clave en una memoria flash e ir
 instalándola y desinstalandola, pero creo que al final es mejor que el
 servidor ssh me solicite una clave y que ésta sea fuerte (a parte de no
 permitir login de root).

 ¿A alguien se le ocurre una alternativa mejor?

No todo es perfecto. Pero indiscutiblemente lo mas seguro es el uso de claves 
en lugar de contraseñas. 

La razón es muy simple: la clave es la que dispones, la contraseña es la que 
tu sabes. El problema es que con las contraseñas das opción a los intrusos a 
que prueben, mientras que con la clave, primero te la tienen que robar.

Lo único que se me ocurre que puedes hacer es llevarla en una memoria y usarla 
al conectarte en otros equipos con putty, cygwin, etc. Con el consiguiente 
peligro que esto conlleva de pierdas la memoria, o te olvides la clave en 
algún equipo de un cibercafé.

Yo lo que te aconsejo es que uses la opción que mejor te vaya y que mayor 
seguridad te brinde. No es cuestión de poner tanta seguridad y no puedas 
entrar. ¿Te pondrías una megapuerta blindada en tu casa, con reconocimiento 
facial, de retina, tactil y diez cerraduras?. Pues lo mismo.

De todos modos, como ya he dicho en otro mensaje, puedes limitar el acceso 
sólo a ciertos usuarios e incluso ponerlos dentro de un chroot. Esto último 
había olvidado comentarlo.

-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpafSABVPyG2.pgp
Description: PGP signature

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Muammar Wadih El Khatib Rodriguez wrote:
 Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes
 de seguridad que provienen de una misma ip en china.  Hice un
 chkrootkit y no tengo nada fuera de lo normal, 

Espera, vamos por partes

Correr un chkrootkit con resultados positivos, no es garantia de nada
(recuerda que si alguien entro y tiene algo de sentido comun, una de las
primeras cosas que hara es evitar que lo detectes...)


 todo aparece como no
 infectado. Ahora lo que me preocupa es que me parece que desde esa
 dirección ip están tratando de sacarme el password del root, pues
 salen muchos logines fallidos para el root en intervalos muy cortos y
 precisos  de tiempo (2 segundos para cada intervalo), el número de
 intentos es alrededor de 80.

Configura tu servicio de ssh de la siguiente manera:

1) Deshabilita el acceso a root
2) Muevelo a otro puerto distinto del 22
3) Habilita el acceso /solo/ a los usuarios que desees permitir
4) Habilita el acceso por intercambio de llaves
5) Deshabilita el acceso por contraseña.

 Y para el usuario que uso yo comunmente
 el comando w no muestra información luego de esos intentos de
 intrusión.

El comando  w no hace exactamente eso...

 Hice un ls -alF  /home/usuario/.bash_history y los permisos andan
 bien. No se han creado en mi sistema usuarios que desconozca.

jejeje te repito: si tienes tu sistema vulnerable y alguien con cierta
habilidad te esta visitando, no dejara que lo sepas...verdad?

 
 ¿Debería instalar algún firewall?

Creo que esa pregunta debieras habertela hecho /antes/ de conectar tu PC
al cyberespacio no crees?
De todas maneras, este es el tipico ejemplo que yo pongo a los que
recetan firewall para todo.

 o que opinión me pueden dar para no
 quedar vulnerable en frente de ataques o usuarios de ese tipo.

Ahi te di unas cuantas. Yo creo que ya tienes visitas indeseadas,
uniendo este correo tuyo con el de la ip auotasignada, aunque no estoy
100% seguro ni tengo tantos elementos para afirmarlo.

El consejo general, en este y en cualquier otro caso /siempre/ es el
mismo: leer y comprender /antes/ de actuar!

 
 
 --
 Muammar El Khatib.
 Linux user: 403107.
 
 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlARkw12RhFuGy4RApqfAJ9CfxcKcLGTOjU1S7DTTbSYtS2ttgCfdR9S
J+y5h9aWKA/v//axBzPtMPU=
=QXCi
-END PGP SIGNATURE-

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Ramiro Aceves wrote:
 Pablo Braulio wrote:
 
 Yo tambien me cuelgo del ofrecimiento, lo agradecere enormemente.



 Ya puestos, a mi también me vendría bien tenerlo en pdf.

 ¿Porque no lo cuelgas en algún sitio y nos pasas la url?.
 
 
 Hola,
 
 Yo también me apunto, a mí también me están intentando entrar por ssh y
 voy a ponerles una regla en iptables. Creo que llegó la hora de
 aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-)

De este tema se hablo hace un tiempo.
Aprender iptables no esta anda mal, pero tampoco estaría mal aprender
sobre ssh y su configuración.
Relee los consejos que le dí al compañero.

Iptables no hace magia. Ejemplo: cierras todo. Tienes un apache. no
puedes filtrar el 80 para el apache.
Tienes configurado el apache en modo proxy y no tienes squid configurado
adecuadamenteallí no tienes iptables que te valga para evitar que te
usen el squid ;)

Cuidado con creer que los firewalls son toda la seguridad necesaria y
hacen magia!

 
 Apr  9 12:19:48 localhost sshd[2614]: Illegal user ronald from
 :::211.18.254.236
 Apr  9 12:19:51 localhost sshd[2616]: Illegal user ronald from
 :::211.18.254.236
 Apr  9 12:19:53 localhost sshd[2619]: Illegal user ronald from
 :::211.18.254.236
 Apr  9 12:19:56 localhost sshd[2621]: Illegal user dujoey from
 :::211.18.254.236
 Apr  9 12:19:58 localhost sshd[2624]: Illegal user dujoey from
 :::211.18.254.236
 Apr  9 12:20:01 localhost sshd[2626]: Illegal user dujoey from
 :::211.18.254.236
 Apr  9 12:20:04 localhost sshd[2628]: Illegal user paul from
 :::211.18.254.236
 Apr  9 12:20:06 localhost sshd[2630]: Illegal user paul from
 :::211.18.254.236
 Apr  9 12:20:09 localhost sshd[2632]: Illegal user paul from
 :::211.18.254.236
 
 Saludos.
 Ramiro.
 
 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlHFkw12RhFuGy4RAkPQAKCGY638AKT4UP6fwRMQU2gDmHLiJgCeJk3Q
Q2f8BMl0Ccs/6AzHKk3+Ov0=
=Sq9W
-END PGP SIGNATURE-

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Ramiro Aceves wrote:
 Hola Pablo
 Voy a hacerte caso y cambiaré el puerto al XX. Claro que si este intruso
 hace un escaneo de puertos aparecerá ssh escuchando en XX y no
 adelantaré nada. ¿O se me escapa algo?
No. Al hacer escaneo de puertos, aparecera el servicio que el tenga
asociado a ese puerto, si es que tiene alguno, caso contrario aparecera
unknown.
En todo caso, si desea fervientemente atacarte, hara un telnet tu_host
tu_puerto y alli se enterara que es ssh.
Pero si no tienes acceso por contraseña, ni ninguna vulnerabilidad,
tendra que trabajar realmente mucho para entrar.
Por cierto, salvo que seas el FBI o tengas la BBDD de Visa de todo el
planeta, dudo que alguien dedique 5 segundos a esto.
De hecho, los intetnso que registras en tus logs no son de personas
sino de gusanitos o programitas que se dedican a esosolo para
encontrar a desprevenidos.

 Si creas la clave sin contraseña, podrás entrar directamente, y no es
 un fallo de seguridad.

Hay gente que opina que si lo es, que aun asi, debieras poner contraseña
para las llaves y tiene su logica.
Claro que hablamos de servidores en los cuales la seguridad es algo
realmente serio.
 Con todo esto lo que haces e ocultar tu servicio ssh al exterior y
 evitar que cualquiera pueda estar probando usuarios y contraseñas, que
 es lo que te está ocurriendo.

En realidad no lo ocultas, pues sigue estando a la vista de todos. Solo
se lo haces mas dificil a los gusanejos.

 Respecto a la necesitdad del firewall, me dí cuenta de ello en el
 momento que estaba observando el ataque. El servidor ssh está en la
 Universidad y estoy entrando desde mi casa. Al hacer cat
 /var/log/auth.log aparecían todos los intentos logeados de adivinar la
 clave. En ese momento me acordé del único firewall que uso en mi casa:
 Firestarter, pero claro, es en modo gráfico. 

Firestarter, es un front end grafico que finalmente te
configuraiptables!

Como no es plan de
 habilitar las conexiones X con el servidor ssh y añadir más
 inseguridades, creo que ha llegado la hora de aprender iptables a pedal.
 En ese momento quería inhabilitar los paquetes procedentes de esa IP y
 fastidiar al hombre este pero claro, no tengo ni idea. 

# route add reject ip_molesta
pero con eso solo logras hacerlo momentanemante, esa gente, por lo gral,
usa ip dinamicas.

 Si deshabilito
 ssh me cierro a mí mismo la posibilidad de entrar hasta el lunes que
 vaya por allí y encienda de nuevo la máquina. Me conecté a la IP con un
 navegador y era una WEB en chino. ¿Hay alguna manera de echar a este
 hombre sin iptables. 

Arriba te mande una.

 Me dió miedo matar alguno de los procesos de sshd,
 no fuera a ser que me fastidiase a mi mismo.

juaz!

Suicidio virtual!

 Por último, como dijo nosequien, la mejor defensa es un buen ataque.
 Usa nmap para ver los puertos de este individuo y podrás ver que tiene
 ssh abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías
 hacer lo mismo que él esta haciendo.

Eso si que es inutil!
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlQGkw12RhFuGy4RAk/DAJ9dvOYifGsBwtRGI+d3/flBdNKdmgCfX4cs
o1IckuVL1igZh0xXXd95cio=
=VrDv
-END PGP SIGNATURE-

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Iñaki wrote:

 Y ya puestos comento que a mí también me están intentando entrar mediante un 
 script cada 3 segundos con curiosos nombres como harrypotter y demás. La IP 
 es la siguiente:
   66.226.74.83

Cuentanos algo mas de los intentos.

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlRxkw12RhFuGy4RAjqQAJ9xB6YQTMKXKdpbIja1qKbyoj6iIwCglgbd
lw7OS7XAYZvxnuy3MAu12n4=
=gKes
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
 Cuentanos algo mas de los intentos.

¿Porque no revisas los archivos de la lista?. Este hilo viene desde el sábado 
y se ha hablado bastante sobre esto.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpiZ6atSQ28B.pgp
Description: PGP signature

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pablo Braulio wrote:
 El Domingo, 9 de Abril de 2006 18:17, Iñaki escribió:
 
Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería
añadir que para el tema de exportar la clave se puede usar el
comando ssh-copy-id que te evita andar copiando de un sitio a otro y
demás, alguna vez lo he usado y te ahorra tiempo.

 
 
 Mira que bien. No lo conocía. Yo para esto usaba scp o sftp y luego con un 
 cat 
 archivo  .ssh/know_hosts, lo añadía.

Revisa tus apuntes, me parece que estas confundiendo archivos.
$HOME/.ssh/known_hosts es un archivo que contiene las claves, ip y demas
datos de los hosts conocidos del sistema a los cuales ya nos hemos
conectado anteriormente.
El archivo en el cual debes colocar las llaves publicas es
$HOME/ssh/.authorized_keys o el que definas en su reemplazo en
/etc/ssh/sshd_config bajo la directiva AuthorizedKeysFile.

Y ya puestos comento que a mí también me están intentando entrar mediante
un script cada 3 segundos con curiosos nombres como harrypotter y demás.
La IP es la siguiente:
  66.226.74.83

¿Alguien puede comprobar si le están intentando entrar desde esa IP?
 Lo he comprobado, como ya le dicho antes a Ramiro, y no tengo ningún log de 
 intentos.
 
 Pese al comentario (de broma, claro) hecho antes de ojo por ojo, lo mejor 
 es 
 prevenir que curar.

No parecio tan en broma. De hecho recomende /no/ hacerlo



- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlWpkw12RhFuGy4RAneXAJ42ZIvlBCmeHR6WTBq/TtijJhDFHACfdRJh
0w07ZHETBMoothNXDO0IF80=
=KITw
-END PGP SIGNATURE-

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

m wrote:
 precisos  de tiempo (2 segundos para cada intervalo), el número de
 intentos es alrededor de 80. Y para el usuario que uso yo comunmente
 
 
  Hay una manera de usar iptables para que ese IP que trata mas de X
 veces sea bloqueado por X segundos, si alguien sabe de algún tutorial
 que explique eso claramente, que nos de el enlace por favor. Gracias. Chao.
 
 
Como ya se ha dicho, eso no tiene sentido. Solo le resta reiniciar su
coenxion, tomar nueva IP y seguir molestando

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlXlkw12RhFuGy4RAvveAJ45E0yyhHdUgWBZokwAA8oSW+haeACfW5Zw
lD3G+52ip+zjhIZg9xeNZ8o=
=ude2
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 14:55, Ricardo Frydman Eureka! escribió:
 El archivo en el cual debes colocar las llaves publicas es
 $HOME/ssh/.authorized_keys o el que definas en su reemplazo en
 /etc/ssh/sshd_config bajo la directiva AuthorizedKeysFile.

Es verdad, me he colado.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpIgAIjx1GvZ.pgp
Description: PGP signature

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Guimi wrote:
 - Original Message - 
 From: Ramiro Aceves
 
 (...)
 
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile  %h/.ssh/authorized_keys

PasswordAuthentication no (para deshabilitar el logeo con password)

 (...)
 
Para deshabilitar el logeo de los clientes por medio de una contraseña, debes
crear una clave en cada cliente que accede al servidor y luego copiarla en
este.
 
 
 Siempre he visto un problema a este sistema. Y es que debes autorizar a cada 
 cliente.
 Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo desde 
 cualquiera.
 Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de 
 cada cibercafe
 entren en mi equipo sin pedir clave.

Me estas diciendo que te conectas por ssh desde un cibercafe?!?!?!?

 Una alternativa sería llevar una clave en una memoria flash e ir instalándola 
 y
 desinstalandola, pero creo que al final es mejor que el servidor ssh me 
 solicite una clave
 y que ésta sea fuerte (a parte de no permitir login de root).

Sabes lo inseguro que es usar ese tipo de informacion en ese tipo de
lugares?!?!?!

 
 ¿A alguien se le ocurre una alternativa mejor?

A que? Que es concretamente lo que necesitas hacer?
Entrar a algun host desde un ciber? Definitivamente no lo conozco y
nunca haria algo asi!


 
 Saludos
 Guimi
 http://www.guimi.net
 
 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOld6kw12RhFuGy4RArezAJ9uUiFTkSHMiUcFU+z//0ItSNS8aQCdHRsC
l95I/hXvQfFcmP/kBawt2RQ=
=qHCL
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
 Iñaki wrote:
  Y ya puestos comento que a mí también me están intentando entrar mediante
  un script cada 3 segundos con curiosos nombres como harrypotter y
  demás. La IP es la siguiente:
66.226.74.83

 Cuentanos algo mas de los intentos.


Cambié el puerto y ya acabaron los intentos, pero pego una porción de los 
logs:


pr  9 16:52:51 aliax sshd[19531]: Failed password for invalid user adm from 
210.3.10.51 port 49259 ssh2
Apr  9 16:52:57 aliax sshd[19557]: Failed password for invalid user amd from 
210.3.10.51 port 49922 ssh2
Apr  9 16:53:03 aliax sshd[19591]: Failed password for invalid user clan from 
210.3.10.51 port 50490 ssh2
Apr  9 16:53:12 aliax sshd[19605]: Failed password for invalid user clans from 
210.3.10.51 port 51063 ssh2
Apr  9 16:53:21 aliax sshd[19658]: Failed password for invalid user hawaii 
from 210.3.10.51 port 52085 ssh2
Apr  9 16:53:27 aliax sshd[19680]: Failed password for invalid user 
educational from 210.3.10.51 port 53026 ssh2
Apr  9 16:53:33 aliax sshd[19702]: Failed password for invalid user benq from 
210.3.10.51 port 53605 ssh2
Apr  9 16:53:39 aliax sshd[19723]: Failed password for invalid user httpd from 
210.3.10.51 port 54144 ssh2
Apr  9 16:53:44 aliax sshd[19748]: Failed password for invalid user httpd from 
210.3.10.51 port 54669 ssh2
Apr  9 16:53:50 aliax sshd[19769]: Failed password for invalid user httpd from 
210.3.10.51 port 55326 ssh2




-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pablo Braulio wrote:
 El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
 
Cuentanos algo mas de los intentos.
 
 
 ¿Porque no revisas los archivos de la lista?. Este hilo viene desde el sábado 
 y se ha hablado bastante sobre esto.
La pregunta no fue para ti.


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlp9kw12RhFuGy4RAk8iAKCTeKJ02kH/wWULdt1vqngjzKlJ3ACfUEo2
UwyHZmJm9Rd+inV+4Qv803A=
=R38N
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 15:15, Ricardo Frydman Eureka! escribió:
 La pregunta no fue para ti.

La mia si.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpmYfwYmWBTu.pgp
Description: PGP signature

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Iñaki wrote:
 El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
 
Iñaki wrote:

Y ya puestos comento que a mí también me están intentando entrar mediante
un script cada 3 segundos con curiosos nombres como harrypotter y
demás. La IP es la siguiente:
  66.226.74.83

Cuentanos algo mas de los intentos.
 
 
 
 Cambié el puerto y ya acabaron los intentos, pero pego una porción de los 
 logs:
 
Perdon! Nunca imagine que tenias el ssh en 22, a pesar de haberse
discutido este tema varias veces en la lista
Te recomiendo releer los pasos que le di al compañero y te insto a
usarlos...


 
 pr  9 16:52:51 aliax sshd[19531]: Failed password for invalid user adm from 
 210.3.10.51 port 49259 ssh2
 Apr  9 16:52:57 aliax sshd[19557]: Failed password for invalid user amd from 
 210.3.10.51 port 49922 ssh2
 Apr  9 16:53:03 aliax sshd[19591]: Failed password for invalid user clan from 
 210.3.10.51 port 50490 ssh2
 Apr  9 16:53:12 aliax sshd[19605]: Failed password for invalid user clans 
 from 
 210.3.10.51 port 51063 ssh2
 Apr  9 16:53:21 aliax sshd[19658]: Failed password for invalid user hawaii 
 from 210.3.10.51 port 52085 ssh2
 Apr  9 16:53:27 aliax sshd[19680]: Failed password for invalid user 
 educational from 210.3.10.51 port 53026 ssh2
 Apr  9 16:53:33 aliax sshd[19702]: Failed password for invalid user benq from 
 210.3.10.51 port 53605 ssh2
 Apr  9 16:53:39 aliax sshd[19723]: Failed password for invalid user httpd 
 from 
 210.3.10.51 port 54144 ssh2
 Apr  9 16:53:44 aliax sshd[19748]: Failed password for invalid user httpd 
 from 
 210.3.10.51 port 54669 ssh2
 Apr  9 16:53:50 aliax sshd[19769]: Failed password for invalid user httpd 
 from 
 210.3.10.51 port 55326 ssh2
 
 
 
 


- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlwDkw12RhFuGy4RAhS0AJ946hqH4WRZ5xfvnaE3iJtcmHaOHgCdH0NR
KpUydKiJiZ9wl8TiRgWzC/c=
=vo36
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 15:22, Ricardo Frydman Eureka! escribió:
 Iñaki wrote:
  El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka! escribió:
 Iñaki wrote:
 Y ya puestos comento que a mí también me están intentando entrar
  mediante un script cada 3 segundos con curiosos nombres como
  harrypotter y demás. La IP es la siguiente:
   66.226.74.83
 
 Cuentanos algo mas de los intentos.
 
  Cambié el puerto y ya acabaron los intentos, pero pego una porción de los
  logs:

 Perdon! Nunca imagine que tenias el ssh en 22, a pesar de haberse
 discutido este tema varias veces en la lista
 Te recomiendo releer los pasos que le di al compañero y te insto a
 usarlos...


Es que nunca he pensado que mis claves de usuarios fuesen vulnerables   ;)




-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Iñaki wrote:

 Es que nunca he pensado que mis claves de usuarios fuesen vulnerables   ;)

Sabes cuantas veces oi eso de labios de clientes con visitas?

La peor política de seguridad es la sensacion de estar seguro!

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOl4/kw12RhFuGy4RAm7GAJ93vTqaKeA+YgF89lGeZGJuyr+tgwCbBoha
OFevEN8HBBIYwQXrYz50+pw=
=8VnF
-END PGP SIGNATURE-

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 15:31, Ricardo Frydman Eureka! escribió:
 Iñaki wrote:
  Es que nunca he pensado que mis claves de usuarios fuesen vulnerables  
  ;)

 Sabes cuantas veces oi eso de labios de clientes con visitas?

Los únicos usuarios de mi ordenador soy yo mismo y 2 más que no sabían ni 
cambiar sus contraseñas y poner unas mucho más inseguras. Y están 
terriblemente avisadso de que NUNCA deben usar esa misma contraseña en ningún 
otro sitio, sólo cuando se loguean en el KDM.


 La peor política de seguridad es la sensacion de estar seguro!

Eso seguro  ;)


-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

2006-04-10 Por tema Guimi

- Original Message - 
From: Ricardo Frydman Eureka!
Guimi wrote:
 Siempre he visto un problema a este sistema. Y es que debes autorizar a cada 
 cliente.
 Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo desde
cualquiera.
 Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de 
 cada
cibercafe
 entren en mi equipo sin pedir clave.

Me estas diciendo que te conectas por ssh desde un cibercafe?!?!?!?

Alguna vez sí.

Sabes lo inseguro que es usar ese tipo de informacion en ese tipo de
lugares?!?!?!

Creo que no son muy seguros pero tampoco soy paranoico.

 ¿A alguien se le ocurre una alternativa mejor?

A que? Que es concretamente lo que necesitas hacer?
Entrar a algun host desde un ciber? Definitivamente no lo conozco y
nunca haria algo asi!

Un ejemplo. El año pasado estuve de vacaciones en Perú. Yo soy de España. 
Estando en Lima,
necesité conectar a un equipo en España.
¿Qué opciones tengo?
telnet+ftp descartado, por supuesto -- uso ssh
(¿alguna otra opción para abrir una conexión y transferir ficheros?)

Con ssh podría usar un sistema de claves publicas/privadas, lo que me obliga a 
llevar mi
clave en una memoria flash, que puedo perder / olvidar o símplemente no tener 
disponible
estando de vacaciones (y no voy a volver a España a por ella ;-)
Otra opción es usar símplemente contraseña, lo que hace muy necesario no 
permitir acceso a
root y tener contraseñas fuertes.

Y aquí vuelvo a preguntar
¿A alguien se le ocurre una alternativa mejor? (además de no conectarme y 
disfrutar mis
vacaciones como debería :-)

Saludos
Guimi
http://www.guimi.net


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Blu

On Mon, Apr 10, 2006 at 04:59:22PM +0200, Guimi wrote:
 - Original Message - 
 From: Ricardo Frydman Eureka!
 Guimi wrote:
  Siempre he visto un problema a este sistema. Y es que debes autorizar a 
  cada cliente.
  Yo voy a muchos lugares distintos y quiero poder conectarme a mi equipo 
  desde
 cualquiera.
  Incluso cuando viajo. Y no puedo ponerme a autorizar a que los equipos de 
  cada
 cibercafe
  entren en mi equipo sin pedir clave.
 
 Me estas diciendo que te conectas por ssh desde un cibercafe?!?!?!?
 
 Alguna vez sí.
 
 Sabes lo inseguro que es usar ese tipo de informacion en ese tipo de
 lugares?!?!?!
 
 Creo que no son muy seguros pero tampoco soy paranoico.
 
  ¿A alguien se le ocurre una alternativa mejor?
 
 A que? Que es concretamente lo que necesitas hacer?
 Entrar a algun host desde un ciber? Definitivamente no lo conozco y
 nunca haria algo asi!
 
 Un ejemplo. El año pasado estuve de vacaciones en Perú. Yo soy de España. 
 Estando en Lima,
 necesité conectar a un equipo en España.
 ¿Qué opciones tengo?
 telnet+ftp descartado, por supuesto -- uso ssh
 (¿alguna otra opción para abrir una conexión y transferir ficheros?)
 
 Con ssh podría usar un sistema de claves publicas/privadas, lo que me obliga 
 a llevar mi
 clave en una memoria flash, que puedo perder / olvidar o símplemente no tener 
 disponible
 estando de vacaciones (y no voy a volver a España a por ella ;-)
 Otra opción es usar símplemente contraseña, lo que hace muy necesario no 
 permitir acceso a
 root y tener contraseñas fuertes.

El problema de las contraseñas es que por muy buenas que sean, en un ciber
no te salvas de un keylogger. Lo mas seguro es usar clave publica con
frase de paso. Asi un adversario tiene que tener la clave privada mas la
frase de paso. Si te roban la clave, les va a faltar la frase de paso (que
esta en tu cabeza). Si te logean la frase de paso, les va a faltar la
clave.  Ahora, si tecleas la frase de paso y luego te dejas olvidado el
pendrive con la clave, cooperaste.

Blu.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Chapu


Blu escribió:


El problema de las contraseñas es que por muy buenas que sean, en un ciber
no te salvas de un keylogger. Lo mas seguro es usar clave publica con
frase de paso. Asi un adversario tiene que tener la clave privada mas la
frase de paso. Si te roban la clave, les va a faltar la frase de paso (que
esta en tu cabeza). Si te logean la frase de paso, les va a faltar la
clave.  Ahora, si tecleas la frase de paso y luego te dejas olvidado el
pendrive con la clave, cooperaste.



Todo muy bonito... pero lo mas sencillo es antes de irte de vacaciones 
cambia tu querida password por otra temporal... a medida que vas 
visitando los cybers vas cambiando cada tanto.. cuando el logger de Lima 
se apiole ya la habras vuelto a cambiar por otra temporal en Cuzco y 
asi sucesivamente...  cuando vuelvas a españa volves a tu password 
querida y original.. la clave es ir cambiandola cada tanto... asi los 
loggers siempre estan desactualizados...


saludos


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Guimi

- Original Message - 
From: Chapu


 Todo muy bonito... pero lo mas sencillo es antes de irte de vacaciones
 cambia tu querida password por otra temporal... a medida que vas
 visitando los cybers vas cambiando cada tanto.. cuando el logger de Lima
 se apiole ya la habras vuelto a cambiar por otra temporal en Cuzco y
 asi sucesivamente...  cuando vuelvas a españa volves a tu password
 querida y original.. la clave es ir cambiandola cada tanto... asi los
 loggers siempre estan desactualizados...

 saludos


Cuando hablo de usar contraseñas fuertes, una de las cosas que implico es 
cambiarla al
menos una vez cada 10 años ;-)

Saludos
Guimi
http://www.guimi.net


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Joaquín Prieto


Muammar Wadih El Khatib Rodriguez escribió:

Hola, soy quien envío el correo original. Muchas gracias por todas las
recomendaciones. He aprendido mucho con todo esto. Yo desactive el
acceso root por ssh, pero ahora el tipo este de china esta haciendo
fuerza bruta para nombres de usuarios en específico. Creo que tienen
razón, bloquear ip's no tiene mucho sentido porque son dinámicas en la
mayoría de los casos. La persona que trata de meterse a mi sistema usa
red hat 9.0  y tiene los puertos 21 23 25 80 110 111 443 abiertos.
Este número de puertos se corresponde para cada una de estas
distintas ip's de donde tratan de meterse, al igual que la distro
que usa (red hat), a mi sistema (es decir, es el mismo tipo, o por lo
menos eso creo). Y si es verdad, esa persona no tiene nada de
seguridad en su computador, tiene el telnet, el ssh con acceso para
root entre otras vulnerabilidades. Es cierto una buena defenza en
ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que
me hace, cada cosa se la devuelvo.

Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos
links que enviaron.



--
Muammar El Khatib.
Linux user: 403107.


  
Hola, no creo que debas atacar a la IP que te está haciendo el ataque 
porque estas cosas no funcionan así, o por lo menos mi experiencia, en 
lo que yo he conocido. Lo que suelen hacer los que se dedican a entrar 
en ordenadores ajenos suele ser encontrar un ordenador vulnerable, 
entrar, cargarle algunos scripts (scanners y demás) despues parchear el 
fallo por el cual han conseguido pasar y dejar los script funcionando 
con una puerta de atrás abierta y así se quedan funcionando de manera 
autonoma y el que se coló solo tiene que entrar regularmente desde 
Finlandia, Andorra o el sitio donde viva el tipo en cuestión para ver lo 
que ha cazado sin apenas riesgos de ser pillado y tu lo que recibes es 
una IP china atacandote en el caso de que te des cuenta.


Quizá me equivoque, pero si tiene una web y una IP fija es posible que 
sea de una empresa china (o japonesa o lo que sea) y que el tipo en 
cuestión que te está atacando se aprovechara de algún fallo de seguridad 
o cualquier otra cosa. Aunque también puede ser la opción mas sencilla y 
que realmente haya alguien atacando directamente desde esa IP, pero me 
parece un poco suicida para alguien que sepa mínimamente algo sobre 
seguridad y esas cosas. En cualquier caso yo descartaría el ojo por ojo.




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Juan Pablo

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Iñaki wrote:

 El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka!
 escribió:

 Iñaki wrote:

 Y ya puestos comento que a mí también me están intentando
 entrar mediante un script cada 3 segundos con curiosos nombres
 como harrypotter y demás. La IP es la siguiente: 66.226.74.83

HEY!
Pero no te preocupes tanto, esto pasa constantemente!
Que te traten de hacer un bruteforce es normal, y si tenés un apache,
mira los logs que también vas a encontrar miles de pedidos de archivos
de sistema y otras cositas.

Yo lo que hago es filtrar las ip de esta gente y listo.

Tenés scripts y programas (busca con google ssh bruteforce) que
automáticamente detectan este tipo de cosas y bloquean los ip o toman
alguna medida al respecto.

Cambiar de puerto el ssh es una buena idea, pero solo eso no basta,
trata de usar claves complejas.


Saludos, Juan Pablo.

 Cuentanos algo mas de los intentos.



 Cambié el puerto y ya acabaron los intentos, pero pego una porción
 de los logs:


 pr 9 16:52:51 aliax sshd[19531]: Failed password for invalid user
 adm from 210.3.10.51 port 49259 ssh2 Apr 9 16:52:57 aliax
 sshd[19557]: Failed password for invalid user amd from 210.3.10.51
 port 49922 ssh2 Apr 9 16:53:03 aliax sshd[19591]: Failed password
 for invalid user clan from 210.3.10.51 port 50490 ssh2 Apr 9
 16:53:12 aliax sshd[19605]: Failed password for invalid user clans
 from 210.3.10.51 port 51063 ssh2 Apr 9 16:53:21 aliax sshd[19658]:
 Failed password for invalid user hawaii from 210.3.10.51 port 52085
 ssh2 Apr 9 16:53:27 aliax sshd[19680]: Failed password for invalid
 user educational from 210.3.10.51 port 53026 ssh2 Apr 9 16:53:33
 aliax sshd[19702]: Failed password for invalid user benq from
 210.3.10.51 port 53605 ssh2 Apr 9 16:53:39 aliax sshd[19723]:
 Failed password for invalid user httpd from 210.3.10.51 port 54144
 ssh2 Apr 9 16:53:44 aliax sshd[19748]: Failed password for invalid
 user httpd from 210.3.10.51 port 54669 ssh2 Apr 9 16:53:50 aliax
 sshd[19769]: Failed password for invalid user httpd from
 210.3.10.51 port 55326 ssh2





-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Debian - http://enigmail.mozdev.org

iD8DBQFEOmQEw4NCNOGjRMERAooGAKDVUS3bgspFpj/f5C0GPXM711aB9QCfZ5r3
PR7ivtMJifXns1HNknmIJYI=
=7vou
-END PGP SIGNATURE-

__
Correo Yahoo!
Espacio para todos tus mensajes, antivirus y antispam �gratis! 
�Abr� tu cuenta ya! - http://correo.yahoo.com.ar


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-10 Por tema Iñigo Tejedor Arrondo

El lun, 10-04-2006 a las 10:56 -0300, Juan Pablo escribió:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1
 
 Iñaki wrote:
 
  El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka!
  escribió:
 
  Iñaki wrote:
 

Al hilo de todos los buenos consejos que se han dado, acudí a la
documentación oficial. Solo añadir (por suerte de la mayoria de esto se
encarga debconf): 

-que se debería deshabilitar el protocólo ssh1 si no se utiliza
-que se puede definir la interfaz a la escucha si hay varias
-chequear que no permita contraseñas vacias (PermitEmptyPasswords no)
-que se puede definir el host desde el que se tiene acceso (AllowUsers
foo ref [EMAIL PROTECTED])
-que también se pueden definir grupos (AllowGroups foo)
-que se puede integrar con /etc/loginusers...

You can also restrict access to the ssh server using pam_listfile or
pam_wheel in the PAM control file. For example, you could keep anyone
not listed in /etc/loginusers away by adding this line
to /etc/pam.d/ssh:

auth   required pam_listfile.so sense=allow onerr=fail item=user 
file=/etc/loginusers

También dice que se puede deshabilitar la transferencias de ficheros si
no se necesitan (sftp y scp) y dice como poner ssh en chroot.

¿quien lo dice?:
http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s5.1
y
http://www.debian.org/doc/manuals/reference/ch-tune.es.html#s-ssh

Saludos y gracias por el hilo tan instructivo.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 20:40, Iñigo Tejedor Arrondo escribió:
 El lun, 10-04-2006 a las 10:56 -0300, Juan Pablo escribió:
  -BEGIN PGP SIGNED MESSAGE-
  Hash: SHA1
 
  Iñaki wrote:
   El Lunes, 10 de Abril de 2006 14:49, Ricardo Frydman Eureka!
  
   escribió:
   Iñaki wrote:

 -que se puede integrar con /etc/loginusers...

 You can also restrict access to the ssh server using pam_listfile or
 pam_wheel in the PAM control file. For example, you could keep anyone
 not listed in /etc/loginusers away by adding this line
 to /etc/pam.d/ssh:

 auth   required pam_listfile.so sense=allow onerr=fail item=user
 file=/etc/loginusers

Esto es sencillamente genial, lo acabo de probar y funciona perfectamente, qué 
maravilla. Ahora mismo sólo permito que 2 usuarios entren por SSH, es 
perfecto.

Muchas gracias.


-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

El Lunes, 10 de Abril de 2006 20:54, Iñaki escribió:
 Esto es sencillamente genial, lo acabo de probar y funciona perfectamente,
 qué maravilla. Ahora mismo sólo permito que 2 usuarios entren por SSH, es
 perfecto.

Pues mira por donde, acabo de descubrir una herramienta para evitar intentos 
de accesos.

Se llama denyhosts, y está en los repositorios de debian.

aptitude search denyhosts
i   denyhosts - an utility to help sys 
admins thwart ssh hackers
i A denyhosts-common  - an utility to help sys 
admins thwart ssh hackers
i A denyhosts-python2.3   - an utility to help sys 
admins thwart ssh hackers
p   denyhosts-python2.4   

Se ejecuta en demonio, y lo que hace es analizar el log /var/log/auth.log, y 
si detecta alguna ip que intenta acceder por ssh la bloquea colocándola en el 
archivo /etc/hosts.deny

Se puede configurar de modo muy fácil. Le puedes decir que te mande un mail, 
el tiempo de bloqueo, etc.

Acabo de instalarlo y lo voy a probar. Mirar a ver si os gusta.


-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgp0gQEO8Q2tB.pgp
Description: PGP signature

Re: Intento de intrusión

2006-04-10 Por tema Muammar Wadih El Khatib Rodriguez

 Pues mira por donde, acabo de descubrir una herramienta para evitar intentos
 de accesos.

 Se llama denyhosts, y está en los repositorios de debian.

 aptitude search denyhosts
 i   denyhosts - an utility to help sys
 admins thwart ssh hackers
 i A denyhosts-common  - an utility to help sys
 admins thwart ssh hackers
 i A denyhosts-python2.3   - an utility to help sys
 admins thwart ssh hackers
 p   denyhosts-python2.4

 Se ejecuta en demonio, y lo que hace es analizar el log /var/log/auth.log, y
 si detecta alguna ip que intenta acceder por ssh la bloquea colocándola en el
 archivo /etc/hosts.deny

 Se puede configurar de modo muy fácil. Le puedes decir que te mande un mail,
 el tiempo de bloqueo, etc.

 Acabo de instalarlo y lo voy a probar. Mirar a ver si os gusta.


 --
 Saludos.
 Pablo
 
 Jabber: bruli(at)myjabber(to)net
 Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D




Interesante, probaré.
Saludos.
--
Muammar El Khatib.
Linux user: 403107.

Re: Intento de intrusión


 Yo tambien me cuelgo del ofrecimiento, lo agradecere enormemente.

Ya puestos, a mi también me vendría bien tenerlo en pdf.

¿Porque no lo cuelgas en algún sitio y nos pasas la url?.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpKN4VTXqsqd.pgp
Description: PGP signature

Re: Intento de intrusión


Pablo Braulio wrote:

Yo tambien me cuelgo del ofrecimiento, lo agradecere enormemente.



Ya puestos, a mi también me vendría bien tenerlo en pdf.

¿Porque no lo cuelgas en algún sitio y nos pasas la url?.


Hola,

Yo también me apunto, a mí también me están intentando entrar por ssh y 
voy a ponerles una regla en iptables. Creo que llegó la hora de 
aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-)


Apr  9 12:19:48 localhost sshd[2614]: Illegal user ronald from 
:::211.18.254.236
Apr  9 12:19:51 localhost sshd[2616]: Illegal user ronald from 
:::211.18.254.236
Apr  9 12:19:53 localhost sshd[2619]: Illegal user ronald from 
:::211.18.254.236
Apr  9 12:19:56 localhost sshd[2621]: Illegal user dujoey from 
:::211.18.254.236
Apr  9 12:19:58 localhost sshd[2624]: Illegal user dujoey from 
:::211.18.254.236
Apr  9 12:20:01 localhost sshd[2626]: Illegal user dujoey from 
:::211.18.254.236
Apr  9 12:20:04 localhost sshd[2628]: Illegal user paul from 
:::211.18.254.236
Apr  9 12:20:06 localhost sshd[2630]: Illegal user paul from 
:::211.18.254.236
Apr  9 12:20:09 localhost sshd[2632]: Illegal user paul from 
:::211.18.254.236


Saludos.
Ramiro.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió:
Hola,

Yo también me apunto, a mí también me están intentando entrar por ssh y
voy a ponerles una regla en iptables. Creo que llegó la hora de
aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-)

Apr 9 12:19:48 localhost sshd[2614]: Illegal user ronald from

:::211.18.254.236

Apr 9 12:19:51 localhost sshd[2616]: Illegal user ronald from

:::211.18.254.236

Apr 9 12:19:53 localhost sshd[2619]: Illegal user ronald from

:::211.18.254.236

Apr 9 12:19:56 localhost sshd[2621]: Illegal user dujoey from

:::211.18.254.236

Apr 9 12:19:58 localhost sshd[2624]: Illegal user dujoey from

:::211.18.254.236

Apr 9 12:20:01 localhost sshd[2626]: Illegal user dujoey from

:::211.18.254.236

Apr 9 12:20:04 localhost sshd[2628]: Illegal user paul from

:::211.18.254.236

Apr 9 12:20:06 localhost sshd[2630]: Illegal user paul from

:::211.18.254.236

Apr 9 12:20:09 localhost sshd[2632]: Illegal user paul from

:::211.18.254.236

Saludos.
Ramiro.

Hola Ramiro.

Aquí el consejo de sabios, je,je. Es broma. :-D

En mi opinión deberías hacer dos cosas:
Asegurar ssh (como ya te han dicho)
y configurar tu firewall para evitar escaneos, bloquear ips, etc.

Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor
ssh. Aquí tienes información:

http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/

Aunque si buscas en google verás que hay información sobre esto.

http://www.google.es/search?sourceid=navclient-ffie=UTF-8rls=GGGL,GGGL:2005-09,GGGL:esq=ssh+fuerza+bruta

Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por defecto
22), deshabilites el acceso a root y uses claves en lugar de password.

Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente:

Port XX (pones el puerto que quieras)

PermitRootLogin no (para evitar logeos de root)

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

PasswordAuthentication no (para deshabilitar el logeo con password)

Creo que no me dejo nada.

Para deshabilitar el logeo de los clientes por medio de una contraseña, debes
crear una clave en cada cliente que accede al servidor y luego copiarla en
este.

Para eso haces en el cliente:

$ssh-keygen -t rsa -b 1024 (creo que es así, mira el man)

Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar
el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts

Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al
equipo que tenga esa clave, sin permitir poner la contraseña a aquellos
equipos que no disponen de esta.

Si creas la clave sin contraseña, podrás entrar directamente, y no es un fallo
de seguridad.

Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que
cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está
ocurriendo.

Respecto al firewall. Siempre es interesante, por no decir imprescindible,
usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para
bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre
otras cosas, claro.

Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar
intentos de acceso y luego crear la regla de iptables necesaria para bloquear
esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece
demasiado útil bloquear ips, pues estas en muchos casos son dinámicas.

Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap
para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y
curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él
esta haciendo.

Que tengas suerte.

--
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D

pgpBfbjjYTzzO.pgp
Description: PGP signature

Re: Intento de intrusión

Hola Pablo

Hola Ramiro.

Aquí el consejo de sabios, je,je. Es broma. :-D

Se agradece el email recibido y todos los consejos.

En mi opinión deberías hacer dos cosas:
Asegurar ssh (como ya te han dicho)
y configurar tu firewall para evitar escaneos, bloquear ips, etc.

¡En ello estamos gracias a tu email!

Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor
ssh. Aquí tienes información:

http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/

Aunque si buscas en google verás que hay información sobre esto.

http://www.google.es/search?sourceid=navclient-ffie=UTF-8rls=GGGL,GGGL:2005-09,GGGL:esq=ssh+fuerza+bruta

Efectivamente ese es el ataque. Aunque veo que teniendo buenas claves no
debería haber problema. Sería una verdadera casualidad que adivinase la
clave de un usuario. En ese sistema sólo hay dos usuarios y con buenas
claves.

Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por defecto
22), deshabilites el acceso a root y uses claves en lugar de password.

Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente:

Port XX (pones el puerto que quieras)

Voy a hacerte caso y cambiaré el puerto al XX. Claro que si este intruso
hace un escaneo de puertos aparecerá ssh escuchando en XX y no
adelantaré nada. ¿O se me escapa algo?

PermitRootLogin no (para evitar logeos de root)

Acabo de hacer eso ahora miso. Así si quiere ser root al menos tiene que
pasar por ser usuario normal antes... ;-)

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

PasswordAuthentication no (para deshabilitar el logeo con password)

Esto ya es más sofisticado y me lo voy a leer con calma, pero tiene muy
buena pinta. Lo desconocía completamente.

Creo que no me dejo nada.

Para deshabilitar el logeo de los clientes por medio de una contraseña, debes
crear una clave en cada cliente que accede al servidor y luego copiarla en
este.

Para eso haces en el cliente:

$ssh-keygen -t rsa -b 1024 (creo que es así, mira el man)

Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar
el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts

Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al
equipo que tenga esa clave, sin permitir poner la contraseña a aquellos
equipos que no disponen de esta.

Si creas la clave sin contraseña, podrás entrar directamente, y no es un fallo
de seguridad.

Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que
cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está
ocurriendo.

Respecto a la necesitdad del firewall, me dí cuenta de ello en el
momento que estaba observando el ataque. El servidor ssh está en la
Universidad y estoy entrando desde mi casa. Al hacer cat
/var/log/auth.log aparecían todos los intentos logeados de adivinar la
clave. En ese momento me acordé del único firewall que uso en mi casa:
Firestarter, pero claro, es en modo gráfico. Como no es plan de
habilitar las conexiones X con el servidor ssh y añadir más
inseguridades, creo que ha llegado la hora de aprender iptables a pedal.
En ese momento quería inhabilitar los paquetes procedentes de esa IP y
fastidiar al hombre este pero claro, no tengo ni idea. Si deshabilito
ssh me cierro a mí mismo la posibilidad de entrar hasta el lunes que
vaya por allí y encienda de nuevo la máquina. Me conecté a la IP con un
navegador y era una WEB en chino. ¿Hay alguna manera de echar a este
hombre sin iptables. Me dió miedo matar alguno de los procesos de sshd,
no fuera a ser que me fastidiase a mi mismo.

Gracias, de momento no lo necesito, eso es mucho más sofisticado ;-)

Gracias por tu ayuda Pablo.

Que tengas suerte.

Muchas gracias.

Saludos, si tengo alguna duda de iptables ya se donde acudir.

Ramiro.

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-09 Por tema Iñaki

El Domingo, 9 de Abril de 2006 13:16, Pablo Braulio escribió:
 El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió:
 Hola Ramiro.

 Aquí el consejo de sabios, je,je. Es broma. :-D

 En mi opinión deberías hacer dos cosas:
 Asegurar ssh (como ya te han dicho)
 y configurar tu firewall para evitar escaneos, bloquear ips, etc.

 Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor
 ssh. Aquí tienes información:

 http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/

 Aunque si buscas en google verás que hay información sobre esto.

 http://www.google.es/search?sourceid=navclient-ffie=UTF-8rls=GGGL,GGGL:20
05-09,GGGL:esq=ssh+fuerza+bruta

 Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por
 defecto 22), deshabilites el acceso a root y uses claves en lugar de
 password.

 Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente:

 Port XX (pones el puerto que quieras)

 PermitRootLogin no (para evitar logeos de root)

 RSAAuthentication yes
 PubkeyAuthentication yes
 AuthorizedKeysFile  %h/.ssh/authorized_keys

 PasswordAuthentication no (para deshabilitar el logeo con password)

 Creo que no me dejo nada.

 Para deshabilitar el logeo de los clientes por medio de una contraseña,
 debes crear una clave en cada cliente que accede al servidor y luego
 copiarla en este.

 Para eso haces en el cliente:

 $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man)

 Eso te crea un archivo id_rsa.pub (tu clave pública), que debes
 añadir/copiar el contenido de este en el path de tu servidor
 /home/usuario.ssh/know_hosts

 Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al
 equipo que tenga esa clave, sin permitir poner la contraseña a aquellos
 equipos que no disponen de esta.

 Si creas la clave sin contraseña, podrás entrar directamente, y no es un
 fallo de seguridad.

 Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar
 que cualquiera pueda estar probando usuarios y contraseñas, que es lo que
 te está ocurriendo.

 Respecto al firewall. Siempre es interesante, por no decir imprescindible,
 usarlo. Te aconsejo que mires el manual que han puesto, y lo configures
 para bloquear las ips que te tocan las narices y bloquees escaneos de
 redes. Entre otras cosas, claro.

 Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar
 intentos de acceso y luego crear la regla de iptables necesaria para
 bloquear esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no
 me parece demasiado útil bloquear ips, pues estas en muchos casos son
 dinámicas.

 Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa
 nmap para ver los puertos de este individuo y podrás ver que tiene ssh
 abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo
 mismo que él esta haciendo.

 Que  tengas suerte.


Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería 
añadir que para el tema de exportar la clave se puede usar el 
comando ssh-copy-id que te evita andar copiando de un sitio a otro y demás, 
alguna vez lo he usado y te ahorra tiempo.

Y ya puestos comento que a mí también me están intentando entrar mediante un 
script cada 3 segundos con curiosos nombres como harrypotter y demás. La IP 
es la siguiente:
  66.226.74.83

¿Alguien puede comprobar si le están intentando entrar desde esa IP?





-- 
y hasta aquí puedo leer...

Re: Intento de intrusión (Manual Iptables PDF)

2006-04-09 Por tema Iñaki

El Domingo, 9 de Abril de 2006 01:51, Felix Perez escribió:
 El 8/04/06, Iñaki[EMAIL PROTECTED] escribió:
  El Sábado, 8 de Abril de 2006 18:54, Muammar Wadih El Khatib Rodriguez
 
  escribió:
   Estoy leyendo el man de iptables. Muchas gracias Iñaki.
 
  Léelo a fondo, no obstante te voy a recomendar el que para mí ha sido el
  más didáctico de los manuales sobre Iptables que he visto (además en
  español):
  http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html
 
  Tómatelo con calma para aprenderlo bien, merece la pena.
  (Si te interesa imprimirlo lo pasé a PDF hace tiempo, sólo tienes que
  pedírmelo).

 Iñaki me cuelgo de tu ofrecimiento, podrias enviarmelo a mi tambien,
 gracias de antemano.


He colgado el manual de Iptables en formato PDF en la siguiente URL:

   http://www.euskalnet.net/ibc/Iptables.pdf




-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

El Domingo, 9 de Abril de 2006 18:17, Iñaki escribió:
 Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería
 añadir que para el tema de exportar la clave se puede usar el
 comando ssh-copy-id que te evita andar copiando de un sitio a otro y
 demás, alguna vez lo he usado y te ahorra tiempo.


Mira que bien. No lo conocía. Yo para esto usaba scp o sftp y luego con un cat 
archivo  .ssh/know_hosts, lo añadía.

 Y ya puestos comento que a mí también me están intentando entrar mediante
 un script cada 3 segundos con curiosos nombres como harrypotter y demás.
 La IP es la siguiente:
   66.226.74.83

 ¿Alguien puede comprobar si le están intentando entrar desde esa IP?

Lo he comprobado, como ya le dicho antes a Ramiro, y no tengo ningún log de 
intentos.

Pese al comentario (de broma, claro) hecho antes de ojo por ojo, lo mejor es 
prevenir que curar.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpcETFyr6BNv.pgp
Description: PGP signature

Re: Intento de intrusión

2006-04-09 Por tema José Regalado

Muammar Wadih El Khatib Rodriguez escribió:
 Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes
 de seguridad que provienen de una misma ip en china.  Hice un
 chkrootkit y no tengo nada fuera de lo normal, todo aparece como no
 infectado. Ahora lo que me preocupa es que me parece que desde esa
 dirección ip están tratando de sacarme el password del root, pues
 salen muchos logines fallidos para el root en intervalos muy cortos y
 precisos  de tiempo (2 segundos para cada intervalo), el número de
 intentos es alrededor de 80. Y para el usuario que uso yo comunmente
 el comando w no muestra información luego de esos intentos de
 intrusión.

   
Yo hice algo drástico cambie el puerto del ssh  y no volví a recibir
ataques.

   


-- 
José Luis Regalado
Debian GNU/Linux User 280381.
San Cristóbal Edo. Táchira - Venezuela
0276-766.72.20 0416-373.75.15 0414-710.48.57
FINGERPRINT=27AB 7E3A F77F 58C8 A0DB  57AD 9912 CF32 9C2E 001E
Donde  hay  ignorancia  hay  fanatismo  donde
hay fanatismo  no hay tolerancia, donde no hay
tolerancia no hay _paz_















-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-09 Por tema m


precisos  de tiempo (2 segundos para cada intervalo), el número de
intentos es alrededor de 80. Y para el usuario que uso yo comunmente


 Hay una manera de usar iptables para que ese IP que trata mas de X 
veces sea bloqueado por X segundos, si alguien sabe de algún tutorial 
que explique eso claramente, que nos de el enlace por favor. Gracias. Chao.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión

2006-04-09 Por tema Iván Forcada Atienza


[Sun, 09 Apr 2006 12:28:08 -0400] - m:
 precisos  de tiempo (2 segundos para cada intervalo), el número de
 intentos es alrededor de 80. Y para el usuario que uso yo comunmente
 
  Hay una manera de usar iptables para que ese IP que trata mas de X veces sea 
 bloqueado por X segundos, si alguien sabe de algún 
 tutorial que explique eso claramente, que nos de el enlace por favor. 
 Gracias. Chao.

No es exactamente lo mismo, pero lo que yo hago es no dejar mas de 5
(valor configurable) intentos de acceso ssh por minuto tambien
configurable). De esa manera tiras al traste cualquier intento de 
fuerza bruta.

No sé de ningún manual, pero googleando seguro que sale algo... Os pego
un cachejo representativo, por si a alguien le sirve de algo.

# Limite global para el logging en el Logging-Chains
LOGLIMIT=2/s
# Limite de rafaga para el logging en el Logging-Chains
LOGLIMITBURST=10

[...]

#Cadena para el logging de intentos de ataque al puerto SSH
echo Creando tabla LSSATTACK...
$IPTABLES -N LSSHATTACK 
$IPTABLES -A LSSHATTACK -m limit --limit $LOGLIMIT --limit-burst $LOGLIMITBURST 
-j LOG --log-prefix fp=SSHATTACK:1 a=DROP
$IPTABLES -A LSSHATTACK -j DROP

#Cadena SSHATTACK - Controla ataques al puerto 22
echo Creando tabla SSHATTACK...
$IPTABLES -N SSHATTACK
$IPTABLES -A SSHATTACK -p tcp --dport 22 -m state --state NEW -m recent --name 
ssh --rsource --update --seconds 60 --hitcount 5 -j LSSHATTACK
$IPTABLES -A SSHATTACK -p tcp --dport 22 -m state --state NEW -m recent --name 
ssh --rsource --set -j RETURN

[...]

#CONEXIONES ENTRANTES al puerto 22, SSH - logueo y tiro si es ataque, y si no 
pasa para que se decida que hacer posteriormente
$IPTABLES -A INPUT -i $IF_INET -j SSHATTACK

[...] 

 -- 
 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
 

-- 
___
Iván Forcada Atienza:
  correo: [EMAIL PROTECTED]
---
Software is like sex: it's better when it's free (Linus Torvalds)
  


pgpy6oxe0fF3H.pgp
Description: PGP signature

Re: Intento de intrusión

2006-04-09 Por tema Muammar Wadih El Khatib Rodriguez

Hola, soy quien envío el correo original. Muchas gracias por todas las
recomendaciones. He aprendido mucho con todo esto. Yo desactive el
acceso root por ssh, pero ahora el tipo este de china esta haciendo
fuerza bruta para nombres de usuarios en específico. Creo que tienen
razón, bloquear ip's no tiene mucho sentido porque son dinámicas en la
mayoría de los casos. La persona que trata de meterse a mi sistema usa
red hat 9.0  y tiene los puertos 21 23 25 80 110 111 443 abiertos.
Este número de puertos se corresponde para cada una de estas
distintas ip's de donde tratan de meterse, al igual que la distro
que usa (red hat), a mi sistema (es decir, es el mismo tipo, o por lo
menos eso creo). Y si es verdad, esa persona no tiene nada de
seguridad en su computador, tiene el telnet, el ssh con acceso para
root entre otras vulnerabilidades. Es cierto una buena defenza en
ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que
me hace, cada cosa se la devuelvo.

Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos
links que enviaron.



--
Muammar El Khatib.
Linux user: 403107.

Re: Intento de intrusión (Manual Iptables PDF)

2006-04-09 Por tema Iñaki

El Domingo, 9 de Abril de 2006 19:29, Iván Forcada Atienza escribió:
 
  He colgado el manual de Iptables en formato PDF en la siguiente URL:
 
 http://www.euskalnet.net/ibc/Iptables.pdf

 Son casi 6 megas... ahi va un mirror, para que no se resienta demasiado
 tu adsl ;-),

No es mi servidor, es un hosting cutrillo que me regala mi ISP.   ;)



 aunque en mi opinion se ve mucho mejor en html que en pdf, 
 pero weno ;-).

Por supuesto, pero como pretendas imprimirlo en formato HTML te hernias. Yo lo 
pasé a PDF precisamente para imprimirlo.



-- 
y hasta aquí puedo leer...

Re: Intento de intrusión

El Domingo, 9 de Abril de 2006 19:15, Muammar Wadih El Khatib Rodriguez 
escribió:
 Hola, soy quien envío el correo original. Muchas gracias por todas las
 recomendaciones. He aprendido mucho con todo esto. Yo desactive el
 acceso root por ssh, pero ahora el tipo este de china esta haciendo
 fuerza bruta para nombres de usuarios en específico. Creo que tienen
 razón, bloquear ip's no tiene mucho sentido porque son dinámicas en la
 mayoría de los casos. La persona que trata de meterse a mi sistema usa
 red hat 9.0  y tiene los puertos 21 23 25 80 110 111 443 abiertos.
 Este número de puertos se corresponde para cada una de estas
 distintas ip's de donde tratan de meterse, al igual que la distro
 que usa (red hat), a mi sistema (es decir, es el mismo tipo, o por lo
 menos eso creo). Y si es verdad, esa persona no tiene nada de
 seguridad en su computador, tiene el telnet, el ssh con acceso para
 root entre otras vulnerabilidades. Es cierto una buena defenza en
 ocasiones es un buen ataque. Yo también estoy haciéndole lo mismo que
 me hace, cada cosa se la devuelvo.

 Muchas gracias de nuevo, estoy leyendo el pdf de iptables y los dos
 links que enviaron.

Espero que no me acusen de listillo, pero creo que es de japon.

# whois 211.18.254.236
[ JPNIC database provides information regarding IP address and ASN. Its 
use   ]
[ is restricted to network administration purposes. For further 
information,  ]
[ use 'whois -h whois.nic.ad.jp help'. To only display English 
output,]
[ add '/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp 
xxx/e'.  ]

Network Information:
a. [Network Number] 211.18.254.224/28
b. [Network Name]   AVION
g. [Organization]   AVION Co.,Ltd
m. [Administrative Contact] KI452JP
n. [Technical Contact]  AH100JP
p. [Nameserver]
[Assigned Date] 2002/08/23
[Return Date]
[Last Update]   2002/08/23 11:23:06(JST)

Less Specific Info.
--
KDDI CORPORATION
 [Allocation]211.18.0.0/16
DION (KDDI CORPORATION)
SUBA-161-TKY [Sub Allocation]  211.18.254.0/24

More Specific Info.

Y si usas algunas de la utilidades que se encuentran googleando (como 
traceroute, etc), lo verás mas claro.

Sólo digo esto para que la gente sepa de estas útiles opciones.

--
No match!!
pabloportatil:/h
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D


pgpeRwqBZRPh3.pgp
Description: PGP signature

Re: Intento de intrusión



No es molestía. Pero he de advertirte que esto no funciona usandolas tal cual. 
Son simplemente un complemento al script que te crees para tu firewall.


Hola Pablo,

Tomado nota de todo y reservado para posterior y detallado estudio ;-)

Muchas gracias.

Ramiro.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Intento de intrusión (Manual Iptables PDF)