Re: ¿Que puedo hacer con el trafico basura que llega a mi servidor ssh?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
ZorroPlateado wrote:
| Ricardo Frydman wrote:
|
| ZorroPlateado wrote:
| | Hay veces que recibo conexiones por ssh que son simplemente paquetes
| | que llegan a dicho puerto, pero otras veces se ve intencionadamente que
| | prueban ese puerto intentando abrir conexion con diferentes conexiones
| | como por ejemplo:
| |
| | Illegal users from these:
| | account/none from 211.241.199.170: 1 Time(s)
| | adam/none from 211.241.199.170: 1 Time(s)
| | adm/none from 211.241.199.170: 2 Time(s)
| | admin/none from 200.56.125.181: 2 Time(s)
| | alan/none from 211.241.199.170: 1 Time(s)
| | apache/none from 211.241.199.170: 1 Time(s)
| | cip51/none from 211.241.199.170: 1 Time(s)
| | cip52/none from 211.241.199.170: 1 Time(s)
| | cosmin/none from 211.241.199.170: 1 Time(s)
| | cyrus/none from 211.241.199.170: 1 Time(s)
| | data/none from 211.241.199.170: 1 Time(s)
| | frank/none from 211.241.199.170: 1 Time(s)
| | george/none from 211.241.199.170: 1 Time(s)
| | guest/none from 200.56.125.181: 1 Time(s)
| | henry/none from 211.241.199.170: 1 Time(s)
| | horde/none from 211.241.199.170: 1 Time(s)
| | iceuser/none from 211.241.199.170: 1 Time(s)
| | jane/none from 211.241.199.170: 1 Time(s)
| | john/none from 211.241.199.170: 1 Time(s)
| | master/none from 211.241.199.170: 1 Time(s)
| | matt/none from 211.241.199.170: 1 Time(s)
| | mysql/none from 211.241.199.170: 1 Time(s)
| | noc/none from 211.241.199.170: 1 Time(s)
| | oracle/none from 211.241.199.170: 1 Time(s)
| | pamela/none from 211.241.199.170: 1 Time(s)
| | patrick/none from 211.241.199.170: 2 Time(s)
| | rolo/none from 211.241.199.170: 1 Time(s)
| | server/none from 211.241.199.170: 1 Time(s)
| | sybase/none from 211.241.199.170: 1 Time(s)
| | test/none from 200.56.125.181: 2 Time(s)
| | test/none from 211.241.199.170: 5 Time(s)
| | user/none from 200.56.125.181: 1 Time(s)
| | user/none from 211.241.199.170: 3 Time(s)
| | web/none from 211.241.199.170: 2 Time(s)
| | webmaster/none from 211.241.199.170: 1 Time(s)
| | www/none from 211.241.199.170: 1 Time(s)
| | wwwrun/none from 211.241.199.170: 1 Time(s)
| |
| |
| | Que puedo hacer con este trafico, solo se me ocurre añadir dicha ip
| | al fichero /etc/hosts.deny.
| |
| |
| Fijate de:
|
| * filtrar el 22 (o el que use ssh en tu server) adecuadamente
| * configurar hosts.deny y hosts.allow
| * usar la opcion AllowUsers en el /etc/ssh/sshd_config
|
| Creo no me olvido de nada
|
|
|
|
|>
|>
| Mira te explico mi situacion:
| - No tengo ip fija, conecto desde el exterior al servidor por el
| puerto 22 ssh, y no puedo filtrar por ip.
Podes: usa zoneedit o tal y filtras por dominio, o bien haces
modificaciones dinamicas por un script.
| - Tengo controlado el tema con AllowUser.
ok
| - Puedo añadir la ip de la maquina que me molesta a hosts.deny, pero
| despues de que el tio haya intentado conectarse.
Eso no te sirve para nada porque el seguro que tambien tiene dinamica y
casi seguro que te esta molestando desde otro lado.....
| No hay nada mas que pueda hacer para controlar las conexiones al
| puerto 22??????
Podes usar otro puerto. Aveces eso ayuda tambien.
Te parece poco?
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFCaACPkw12RhFuGy4RAoaEAJ4nvSekcX7jdof2UnrreVahga9wfwCeOWBE
2SPU4wfGAp6Uwg+8WFnR7HE=
=bMzN
-----END PGP SIGNATURE-----
Reply to: