[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Intento de intrusión



El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió:
> Hola,
>
> Yo también me apunto, a mí también me están intentando entrar por ssh y
> voy a ponerles una regla en iptables. Creo que llegó la hora de
> aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-)
>
> Apr  9 12:19:48 localhost sshd[2614]: Illegal user ronald from
>
> ::ffff:211.18.254.236
>
> Apr  9 12:19:51 localhost sshd[2616]: Illegal user ronald from
>
> ::ffff:211.18.254.236
>
> Apr  9 12:19:53 localhost sshd[2619]: Illegal user ronald from
>
> ::ffff:211.18.254.236
>
> Apr  9 12:19:56 localhost sshd[2621]: Illegal user dujoey from
>
> ::ffff:211.18.254.236
>
> Apr  9 12:19:58 localhost sshd[2624]: Illegal user dujoey from
>
> ::ffff:211.18.254.236
>
> Apr  9 12:20:01 localhost sshd[2626]: Illegal user dujoey from
>
> ::ffff:211.18.254.236
>
> Apr  9 12:20:04 localhost sshd[2628]: Illegal user paul from
>
> ::ffff:211.18.254.236
>
> Apr  9 12:20:06 localhost sshd[2630]: Illegal user paul from
>
> ::ffff:211.18.254.236
>
> Apr  9 12:20:09 localhost sshd[2632]: Illegal user paul from
>
> ::ffff:211.18.254.236
>
> Saludos.
> Ramiro.


Hola Ramiro.

Aquí el consejo de sabios, je,je. Es broma. :-D

En mi opinión deberías hacer dos cosas:
Asegurar ssh (como ya te han dicho)
y configurar tu firewall para evitar escaneos, bloquear ips, etc.

Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor 
ssh. Aquí tienes información:

http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/

Aunque si buscas en google verás que hay información sobre esto.

http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2005-09,GGGL:es&q=ssh+fuerza+bruta

Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por defecto 
22), deshabilites el acceso a root y uses claves en lugar de password.

Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente:

Port XX (pones el puerto que quieras)

PermitRootLogin no (para evitar logeos de root)

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys

PasswordAuthentication no (para deshabilitar el logeo con password)

Creo que no me dejo nada.

Para deshabilitar el logeo de los clientes por medio de una contraseña, debes 
crear una clave en cada cliente que accede al servidor y luego copiarla en 
este.

Para eso haces en el cliente:

$ssh-keygen -t rsa -b 1024 (creo que es así, mira el man)

Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar 
el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts

Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al 
equipo que tenga esa clave, sin permitir poner la contraseña a aquellos 
equipos que no disponen de esta.

Si creas la clave sin contraseña, podrás entrar directamente, y no es un fallo 
de seguridad.

Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que 
cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está 
ocurriendo.

Respecto al firewall. Siempre es interesante, por no decir imprescindible, 
usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para 
bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre 
otras cosas, claro.

Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar 
intentos de acceso y luego crear la regla de iptables necesaria para bloquear 
esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece 
demasiado útil bloquear ips, pues estas en muchos casos son dinámicas.

Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap 
para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y 
curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él 
esta haciendo.

Que  tengas suerte.

-- 
Saludos.
Pablo
------------
Jabber: bruli(at)myjabber(to)net
Fingerprint: 944D 10DA 4C10 08D1 574D  4B48 3BC1 CEF7 F222 EB1D

Attachment: pgpe68O8p6nd3.pgp
Description: PGP signature


Reply to: