[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Peticiones "extrañas", Apache2

gesala gesala wrote:


Hola a todos:
Hoy por la mañana viendo los logs de apache me he encontrado las
siguientes lineas:


81.192.173.101 - - [13/May/2005:03:31:50 +0200] "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 317 "-" "-"
61.74.254.142 - - [13/May/2005:03:35:25 +0200] "CONNECT
maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-"
61.74.254.142 - - [13/May/2005:03:35:26 +0200] "CONNECT
maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-"
61.74.254.142 - - [13/May/2005:03:35:28 +0200] "CONNECT
maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-"
81.22.194.62 - - [13/May/2005:04:29:00 +0200] "GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
HTTP/1.0" 404 317 "-" "-"
Tengo un mosqueo de la leche . Parece en la 1º y ultima peticion el servidor apache les da un error 
404. Me equivoco? y las lineas del medio no las logro entender.

Me han hackeado? He mirado los logs de mi maquina pero no parece que
han hecho nada mas.

Por otra parte, tengo un servidor ssh y de vez en cuando veo intentos
de login desde una ip "extraña", la cual intenta logearse
repetidamente con nombres ingleses, por supuesto no logra entrar ya
que mi maquina no tiene esos nombres. Hay alguna forma de bloquear
durante un tiempo una ip que intenta logearse y falla por ejemplo 3
veces?
O alguna otra idea?




Buenas .
Hay una buena manera de bloquear los intentos de entrada por ssh sin tener que configurar un firewall es po TCP-Wrapper, de tal manera que puedes discriminar el acceso a tu maquina desde una Ip. Tambien te recomendaría que cambiases el PermitRootLogin de yes a No , y entrases como un usuario normal del sistema y luego posteriormente hizieses un su - para pasarte #. Tcp-Wrapper funciona de la siguiente manera . Tiene dos Ficheros /etc/hosts.allow y /etc/hosts.deny. Primero mira en el fichero hosts.deny y si tienes que ALL:Nº de ip , dominio o lo que sea , y entra con ese hosts, o ip lo rechaza de plano , y por el contrario dices en el hosts.allow ALL:ip, hosts, domain lo que sea acepta todo lo que llegue desde ahí. Pues ahora bien tu quieres denegar todo lo que entre por ssh , pues editas hosts.allow y pones esta linea ALL:sshd:deny , lo que estas diciendo es que todo (ALL), lo que entre por ssh (sshd ),lo denigue, para que te deje entrar a ti si te conectas en localhost no hay problema, si es desde otra maquina le incluyes la ip, pero no obstante , si te conectas por una uni, o la casa de un amigo y este tiene una ip dinámica no puedes denegarlo todo por sshd ya que no te dejaría entrar a ti, pero si puedes incluir en el hosts.deny esa ip que tanto te molesta, y desde entonces veras que ya no vuelve a molestarte por ssh . Para el apache deberías incluirte un firewall por iptables discriminado cirtos hosts, o ip , que te estan molestando en apache. Hay varias formas de hacerlo pero de iptables te puede resultar más facil que hacerlo por tcp-wrapper. 

   Espero que te sirva un saludin.
Reply to: