Re: Intento de intrusión
El Sábado, 8 de Abril de 2006 18:08, Muammar Wadih El Khatib Rodriguez
escribió:
> Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes
> de seguridad que provienen de una misma ip en china. Hice un
> chkrootkit y no tengo nada fuera de lo normal, todo aparece como no
> infectado. Ahora lo que me preocupa es que me parece que desde esa
> dirección ip están tratando de sacarme el password del root, pues
> salen muchos logines fallidos para el root en intervalos muy cortos y
> precisos de tiempo (2 segundos para cada intervalo), el número de
> intentos es alrededor de 80.
Deberías especificar qué mecanismo usan para intentar loguearse en tu sistema.
Supongo que es SSH por lo que yo te recomiendo ENCARECIDAMENTE que
deshabilites la posibilidad de loguarte como root por SSH (revisa
el /etc/ssh/sshd_config, pon "no" en la opción correspondiente y reinicia el
servicio SSH).
> Y para el usuario que uso yo comunmente
> el comando w no muestra información luego de esos intentos de
> intrusión.
> Hice un ls -alF /home/usuario/.bash_history y los permisos andan
> bien. No se han creado en mi sistema usuarios que desconozca.
Todo eso que dices podrían haberlo modificado y camuflado. No quiero alertarte
ni mucho menos, pero no es nada del otro mundo hacer una tarea de cron que a
una determinada hora te haga un estropicio en tu ordenador y tras ello
elimine todos los rastros e incluso la propia tarea de cron.
> ¿Debería instalar algún firewall?
Sí, siempre.
> o que opinión me pueden dar para no
> quedar vulnerable en frente de ataques o usuarios de ese tipo.
Un buen firewall y SOBRE TODO unas buenas claves en tus usuarios. Sin olvidar
lo que te decía al principio de deshabilitar el acceso por SSH como root.
--
y hasta aquí puedo leer...
Reply to: