Re: Intento de intrusión
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Ramiro Aceves wrote:
> Hola Pablo
> Voy a hacerte caso y cambiaré el puerto al XX. Claro que si este intruso
> hace un escaneo de puertos aparecerá ssh escuchando en XX y no
> adelantaré nada. ¿O se me escapa algo?
No. Al hacer escaneo de puertos, aparecera el servicio que el tenga
asociado a ese puerto, si es que tiene alguno, caso contrario aparecera
"unknown".
En todo caso, si desea fervientemente atacarte, hara un telnet tu_host
tu_puerto y alli se enterara que es ssh.
Pero si no tienes acceso por contraseña, ni ninguna vulnerabilidad,
tendra que trabajar realmente mucho para entrar.
Por cierto, salvo que seas el FBI o tengas la BBDD de Visa de todo el
planeta, dudo que alguien dedique 5 segundos a esto.
De hecho, los intetnso que registras en tus logs no son de "personas"
sino de gusanitos o programitas que se dedican a eso....solo para
encontrar a desprevenidos.
>> Si creas la clave sin contraseña, podrás entrar directamente, y no es
>> un fallo de seguridad.
Hay gente que opina que si lo es, que aun asi, debieras poner contraseña
para las llaves y tiene su logica.
Claro que hablamos de servidores en los cuales la seguridad es algo
realmente serio.
>> Con todo esto lo que haces e ocultar tu servicio ssh al exterior y
>> evitar que cualquiera pueda estar probando usuarios y contraseñas, que
>> es lo que te está ocurriendo.
En realidad no lo ocultas, pues sigue estando a la vista de todos. Solo
se lo haces mas dificil a los gusanejos.
> Respecto a la necesitdad del firewall, me dí cuenta de ello en el
> momento que estaba observando el ataque. El servidor ssh está en la
> Universidad y estoy entrando desde mi casa. Al hacer cat
> /var/log/auth.log aparecían todos los intentos logeados de adivinar la
> clave. En ese momento me acordé del único firewall que uso en mi casa:
> Firestarter, pero claro, es en modo gráfico.
Firestarter, es un front end grafico que finalmente te
configura....iptables!
>Como no es plan de
> habilitar las conexiones X con el servidor ssh y añadir más
> inseguridades, creo que ha llegado la hora de aprender iptables a pedal.
> En ese momento quería inhabilitar los paquetes procedentes de esa IP y
> fastidiar al hombre este pero claro, no tengo ni idea.
# route add reject ip_molesta
pero con eso solo logras hacerlo momentanemante, esa gente, por lo gral,
usa ip dinamicas.
> Si deshabilito
> ssh me cierro a mí mismo la posibilidad de entrar hasta el lunes que
> vaya por allí y encienda de nuevo la máquina. Me conecté a la IP con un
> navegador y era una WEB en chino. ¿Hay alguna manera de echar a este
> hombre sin iptables.
Arriba te mande una.
> Me dió miedo matar alguno de los procesos de sshd,
> no fuera a ser que me fastidiase a mi mismo.
juaz!
Suicidio virtual!
>> Por último, como dijo nosequien, la mejor defensa es un buen ataque.
>> Usa nmap para ver los puertos de este individuo y podrás ver que tiene
>> ssh abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías
>> hacer lo mismo que él esta haciendo.
Eso si que es inutil!
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFEOlQGkw12RhFuGy4RAk/DAJ9dvOYifGsBwtRGI+d3/flBdNKdmgCfX4cs
o1IckuVL1igZh0xXXd95cio=
=VrDv
-----END PGP SIGNATURE-----
Reply to: