Re: Intento de intrusión

To: SmartList <debian-user-spanish@lists.debian.org>
Subject: Re: Intento de intrusión
From: "Ricardo Frydman Eureka!" <ricardoeureka@gmail.com>
Date: Mon, 10 Apr 2006 09:31:14 -0300
Message-id: <[🔎] 443A5012.5040907@gmail.com>
Reply-to: ricardoeureka@gmail.com
In-reply-to: <[🔎] 77aff34b0604080908l11a0fc7an373a8fc87fadf43f@mail.gmail.com>
References: <[🔎] 77aff34b0604080908l11a0fc7an373a8fc87fadf43f@mail.gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Muammar Wadih El Khatib Rodriguez wrote:
> Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes
> de seguridad que provienen de una misma ip en china.  Hice un
> chkrootkit y no tengo nada fuera de lo normal, 

Espera, vamos por partes....

Correr un chkrootkit con resultados positivos, no es garantia de nada
(recuerda que si alguien entro y tiene algo de sentido comun, una de las
primeras cosas que hara es evitar que lo detectes...)

> todo aparece como no
> infectado. Ahora lo que me preocupa es que me parece que desde esa
> dirección ip están tratando de sacarme el password del root, pues
> salen muchos logines fallidos para el root en intervalos muy cortos y
> precisos  de tiempo (2 segundos para cada intervalo), el número de
> intentos es alrededor de 80.

Configura tu servicio de ssh de la siguiente manera:

1) Deshabilita el acceso a root
2) Muevelo a otro puerto distinto del 22
3) Habilita el acceso /solo/ a los usuarios que desees permitir
4) Habilita el acceso por intercambio de llaves
5) Deshabilita el acceso por contraseña.

> Y para el usuario que uso yo comunmente
> el comando w no muestra información luego de esos intentos de
> intrusión.

El comando  w no hace exactamente eso...

> Hice un ls -alF  /home/usuario/.bash_history y los permisos andan
> bien. No se han creado en mi sistema usuarios que desconozca.

jejeje te repito: si tienes tu sistema vulnerable y alguien con cierta
habilidad te esta visitando, no dejara que lo sepas...verdad?

> 
> ¿Debería instalar algún firewall?

Creo que esa pregunta debieras habertela hecho /antes/ de conectar tu PC
al cyberespacio no crees?
De todas maneras, este es el tipico ejemplo que yo pongo a los que
recetan firewall para todo.

> o que opinión me pueden dar para no
> quedar vulnerable en frente de ataques o usuarios de ese tipo.

Ahi te di unas cuantas. Yo creo que ya tienes visitas indeseadas,
uniendo este correo tuyo con el de la "ip auotasignada", aunque no estoy
100% seguro ni tengo tantos elementos para afirmarlo.

El consejo general, en este y en cualquier otro caso /siempre/ es el
mismo: leer y comprender /antes/ de actuar!

> 
> 
> --
> Muammar El Khatib.
> Linux user: 403107.
> 
> 

- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEOlARkw12RhFuGy4RApqfAJ9CfxcKcLGTOjU1S7DTTbSYtS2ttgCfdR9S
J+y5h9aWKA/v//axBzPtMPU=
=QXCi
-----END PGP SIGNATURE-----

Reply to:

References:
- Intento de intrusión
  - From: "Muammar Wadih El Khatib Rodriguez" <muammarelkhatib@gmail.com>

Prev by Date: Re: Dar permisos a un usuario especificamente
Next by Date: Re: Intento de intrusión
Previous by thread: Re: Intento de intrusión
Next by thread: Secure Message System (Gmail.com)
Index(es):
- Date
- Thread