[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Intento de intrusión

On 4/8/06, Iñaki <ibc2@euskalnet.net> wrote:
> El Sábado, 8 de Abril de 2006 18:08, Muammar Wadih El Khatib Rodriguez
> escribió:
> > Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes
> > de seguridad que provienen de una misma ip en china.  Hice un
> > chkrootkit y no tengo nada fuera de lo normal, todo aparece como no
> > infectado. Ahora lo que me preocupa es que me parece que desde esa
> > dirección ip están tratando de sacarme el password del root, pues
> > salen muchos logines fallidos para el root en intervalos muy cortos y
> > precisos  de tiempo (2 segundos para cada intervalo), el número de
> > intentos es alrededor de 80.
>
> Deberías especificar qué mecanismo usan para intentar loguearse en tu sistema.
> Supongo que es SSH por lo que yo te recomiendo ENCARECIDAMENTE que
> deshabilites la posibilidad de loguarte como root por SSH (revisa
> el /etc/ssh/sshd_config, pon "no" en la opción correspondiente y reinicia el
> servicio SSH).
>
>
>
> > Y para el usuario que uso yo comunmente
> > el comando w no muestra información luego de esos intentos de
> > intrusión.
> > Hice un ls -alF  /home/usuario/.bash_history y los permisos andan
> > bien. No se han creado en mi sistema usuarios que desconozca.
>
> Todo eso que dices podrían haberlo modificado y camuflado. No quiero alertarte
> ni mucho menos, pero no es nada del otro mundo hacer una tarea de cron que a
> una determinada hora te haga un estropicio en tu ordenador y tras ello
> elimine todos los rastros e incluso la propia tarea de cron.
>
>
>
> > ¿Debería instalar algún firewall?
>
> Sí, siempre.
>
>
> > o que opinión me pueden dar para no
> > quedar vulnerable en frente de ataques o usuarios de ese tipo.
>
> Un buen firewall y SOBRE TODO unas buenas claves en tus usuarios. Sin olvidar
> lo que te decía al principio de deshabilitar el acceso por SSH como root.
>
>
>
> --
> y hasta aquí puedo leer...
>
>
Oye, pues si por ssh y por el telnet. Voy a tratar de configurar mejor
el telnet y el ssh. De todas formas si no puedo configurar bien telnet
lo elimino. Otra cosa que andube leyendo, y de hecho bajé, es un
script que busca las contraseñas por fuerza bruta y utiliza pop3 si
esta disponible en el servidor remoto. Debo configurar mejor mi pop3
también. Muchas gracias por contestarme.

PD. Voy a leer que firewall instalar y cómo educarlo bien. Saludos

--
Muammar El Khatib.
Linux user: 403107.
Reply to: