[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ¿Que puedo hacer con el trafico basura que llega a mi servidor ssh?

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

ZorroPlateado wrote:
| Ricardo Frydman wrote:
|
| ZorroPlateado wrote:
| |    Hay veces que recibo conexiones por ssh que son simplemente paquetes
| | que llegan a dicho puerto, pero otras veces se ve intencionadamente que
| | prueban ese puerto intentando abrir conexion con diferentes conexiones
| | como por ejemplo:
| |
| | Illegal users from these:
| |   account/none from 211.241.199.170: 1 Time(s)
| |   adam/none from 211.241.199.170: 1 Time(s)
| |   adm/none from 211.241.199.170: 2 Time(s)
| |   admin/none from 200.56.125.181: 2 Time(s)
| |   alan/none from 211.241.199.170: 1 Time(s)
| |   apache/none from 211.241.199.170: 1 Time(s)
| |   cip51/none from 211.241.199.170: 1 Time(s)
| |   cip52/none from 211.241.199.170: 1 Time(s)
| |   cosmin/none from 211.241.199.170: 1 Time(s)
| |   cyrus/none from 211.241.199.170: 1 Time(s)
| |   data/none from 211.241.199.170: 1 Time(s)
| |   frank/none from 211.241.199.170: 1 Time(s)
| |   george/none from 211.241.199.170: 1 Time(s)
| |   guest/none from 200.56.125.181: 1 Time(s)
| |   henry/none from 211.241.199.170: 1 Time(s)
| |   horde/none from 211.241.199.170: 1 Time(s)
| |   iceuser/none from 211.241.199.170: 1 Time(s)
| |   jane/none from 211.241.199.170: 1 Time(s)
| |   john/none from 211.241.199.170: 1 Time(s)
| |   master/none from 211.241.199.170: 1 Time(s)
| |   matt/none from 211.241.199.170: 1 Time(s)
| |   mysql/none from 211.241.199.170: 1 Time(s)
| |   noc/none from 211.241.199.170: 1 Time(s)
| |   oracle/none from 211.241.199.170: 1 Time(s)
| |   pamela/none from 211.241.199.170: 1 Time(s)
| |   patrick/none from 211.241.199.170: 2 Time(s)
| |   rolo/none from 211.241.199.170: 1 Time(s)
| |   server/none from 211.241.199.170: 1 Time(s)
| |   sybase/none from 211.241.199.170: 1 Time(s)
| |   test/none from 200.56.125.181: 2 Time(s)
| |   test/none from 211.241.199.170: 5 Time(s)
| |   user/none from 200.56.125.181: 1 Time(s)
| |   user/none from 211.241.199.170: 3 Time(s)
| |   web/none from 211.241.199.170: 2 Time(s)
| |   webmaster/none from 211.241.199.170: 1 Time(s)
| |   www/none from 211.241.199.170: 1 Time(s)
| |   wwwrun/none from 211.241.199.170: 1 Time(s)
| |
| |
| |    Que puedo hacer con este trafico, solo se me ocurre añadir dicha ip
| | al fichero /etc/hosts.deny.
| |
| |
| Fijate de:
|
| * filtrar el 22 (o el que use ssh en tu server) adecuadamente
| * configurar hosts.deny y hosts.allow
| * usar la opcion AllowUsers en el /etc/ssh/sshd_config
|
| Creo no me olvido de nada
|
|
|
|
|>
|>
|    Mira te explico mi situacion:

|    - No tengo ip fija, conecto desde el exterior al servidor por el
| puerto 22 ssh, y no puedo filtrar por ip.

Podes: usa zoneedit o tal y filtras por dominio, o bien haces
modificaciones dinamicas por un script.

|    - Tengo controlado el tema con AllowUser.

ok

|    - Puedo añadir la ip de la maquina que me molesta a hosts.deny, pero
| despues de que el tio haya intentado conectarse.



Eso no te sirve para nada porque el seguro que tambien tiene dinamica y
casi seguro que te esta molestando desde otro lado.....

|    No hay nada mas que pueda hacer para controlar las conexiones al
| puerto 22??????

Podes usar otro puerto. Aveces eso ayuda tambien.


Te parece poco?

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source
Administrador de Sistemas
http://www.eureka-linux.com.ar

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQFCaACPkw12RhFuGy4RAoaEAJ4nvSekcX7jdof2UnrreVahga9wfwCeOWBE
2SPU4wfGAp6Uwg+8WFnR7HE=
=bMzN
-----END PGP SIGNATURE-----
Reply to: