[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ataque a servidor debian



2011/2/22 Victor H De la Luz <itztli@gmail.com>
2011/2/22 Marc Aymerich <glicerinu@gmail.com>:
>
>
> On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz <itztli@gmail.com>
> wrote:
>>
>> Saludos!
>>
>> El dia de ayer recibi un ataque, el cual me dejo sin server un par de
>> horas, despues de actuar rapidamente (solo tenia algunos segundos
>> despues de reiniciar el server (en un lugar muy muy lejano)) pude
>> bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que
>> mi server esta soportando el ataque.
>>
>> En los logs del sistema encontre (y sigo encontrando) lo siguiente
>>
>> /var/log/auth.log
>>
>> Feb 21 17:36:17  sshd[2227]: Invalid user claude from 114.70.60.247
>> Feb 21 17:37:33  sshd[2229]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>> Feb 21 17:37:43  sshd[2229]: Invalid user apache from 123.214.25.35
>> Feb 21 17:38:22  sshd[2232]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>> Feb 21 17:38:22  sshd[2232]: Did not receive identification string
>> from 115.249.0.138
>> Feb 21 17:41:16  sshd[2233]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>>
>> Lo que me interesa es saber quien diablos esta atacando (logicamente
>> las IPs no estan registradas).
>>
>> Esta inflando mis logs y temo un ataque diferente. Mi server esta en
>> produccion y dudo mucho poder moverlo, ademas de que es un servidor
>> remoto.
>>
>> Algun consejo?
>
> No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba
> el servidor entero?? O los logs que has puesto no tienen nada que ver con el
> ataque que comentas?
>
> --
> Marc
>

El servidor dejo de responder (http). Al intentar logearme (ssh) el
servidor no respondia. Asi que reinicie el servidor, a los pocos
segundos se volvia a caer, asi que me costo mucho trabajo revisar los
logs y encontre justo las lineas que les envie. Busque en la internet
y encontre la forma de bloquearlos con iptables.

Con 2 lineas de configuracion el servidor se estabilizo, pero al
revisar de nuevo los logs (ayer), habia cientos de intentos de logeo.
Por eso el correo, que hacer para detenerlos? aun cuando ya no afectan
al server.

Estoy instalando denyhost, y tratando de contactar los due;os de las
ips (al parecer coreanos) para ponerlos al tanto. Tambien estoy
revisando la forma de automatizar el proceso.

Gracias a todos y si tienen mas sugerencias, se los agradeceria.

Pues lo más probable es que los logs que posteaste no tengan nada que ver con la saturación de tu servidor (para estar seguro tendrías que repasar esos logs y buscar si en algún momento se acepto alguna de las contraseñas del atacante). Hay que investigar más para saber porque se colgó el servidor. Intenta identificar el momento exacto en que todo empezó a ir mal y una vez lo tengas busca en los logs de todos los servicios: apache(error.log, access.log), syslog, messages, postfix, exim.. todo lo que tengas. En alguno de ellos estará el motivo.  


--
Marc
Reply to: