[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Tentativas de ataque por SSH - /var/log/auth.log

Esto debe ser algún tipo de aplicación (gusano o algo así) que lanza este tipo de tentativas contra servidores, (imagino) que al detectar el servicio sshd arrancado.
Mi duda es, ¿se puede hacer algo con las IPs de los supuestos atacantes? a algo me refiero saber de donde proceden, que compañía ISP usan ... obtener algún tipo de información (no quiero lanzar ningún ataque de vuelta ni nada por el estilo). 

¿En mi servidor puedo negar cualquier intento de acceso de esta IP?
----- Original Message ----- From: "Miguel Da Silva" <cibonato@fcien.edu.uy> 
To: <debian-user-spanish@lists.debian.org>
Sent: Monday, April 24, 2006 7:37 PM
Subject: Re: Tentativas de ataque por SSH - /var/log/auth.log



On Mon, 24 Apr 2006 18:20:05 +0200
Inigo Tejedor Arrondo <txiuaua@telefonica.net> wrote:


El lun, 24-04-2006 a las 11:35 -0300, Miguel Da Silva escribió:
> Señores, veo las siguientes entradas en mi /var/log/auth.log (ya sea en > la computadora de mi casa o en las computadoras de mis trabajos): 
>
> Apr 10 17:12:19 peligro sshd[31988]: Invalid user http from > 61.220.36.148 > Apr 10 17:12:23 peligro sshd[31990]: Invalid user httpd from > 61.220.36.148 > Apr 10 17:12:27 peligro sshd[31992]: User nobody from > 61-220-36-148.hinet-ip.hinet.net not allowed because not listed in > AllowUsers > Apr 10 17:12:31 peligro sshd[31994]: User root from > 61-220-36-148.hinet-ip.hinet.net not allowed because not listed in > AllowUsers > Apr 10 17:12:35 peligro sshd[31996]: Invalid user backup from > 61.220.36.148 > Apr 10 17:12:39 peligro sshd[31998]: Invalid user info from > 61.220.36.148 > Apr 10 17:12:44 peligro sshd[32000]: Invalid user shop from > 61.220.36.148 > Apr 10 17:12:48 peligro sshd[32002]: Invalid user sales from > 61.220.36.148 
>
> Me imagino que no fue posible entrar a las computadoras (el todas las > computadoras que miré los mensajes eran muy similares y los cambios que > habian eran de nombre de la máquina solamente), pero mi llama la > atención la linea que dice la conexión como root no fue posible porque > el usuario no está listando en AllowUsers. 
>
> Eso quiere decir simplemente que no se pudo conectar porque no se sabía > la contraseña o porque el root tiene deshabilitado la conexión por SSH? > En todas las máquinas la conexión por SSH como está deshabilitada y en > la cláusula AllowUsers solo tengo mi usuario (aunque hayan otros en la > computadora). 
>

Si traduces literalmente la frase en cualquier traductor online, lo
comprenderás, te está diciendo eso, que el usuario root no está
permitido, porque no aparece en la directiva AlloUsers (lo cual también
quiere decir que tienes "PermitRootLogin no")

Saludos

> Espero que esté clara mi pregunta.
>
> Saludos.
>
Muchas gracias por tu buena volutand, pero creo que no entendiste el "problema" que tengo. La traducción al español/portugués/árabe no es problema para mi, pero sí es problema lo siguiente: los usuarios, por ejemplo, info y sales no existen en mi sistema, por lo tanto tengo la frase "Invalid user...". Pero sin embargo, el comportamiento para root es distinto.
Estube haciendo algunas pruebas con una máquina y ya estoy más tranquilo porque veo que una vez que sea usada la cláusula AllowUsers, cualquier usuario que se intente conectar y NO esté en la lista de los permitidos provocará la aparición de una linea semejante como la que sigue:
Apr 24 15:33:45 localhost sshd[8345]: User administrador not allowed because not listed in AllowUsers
Lo que clarificó un poco la situación fue el hecho de probar la conexión con la contraseña verdadera y con una contraseña equivocada, pues ese era mi miedo; que hubieron encontrado la contraseña de root, pero no pudieron ingresar a la máquina porque estaba configurada como "PermitRootLogin no". 

Gracias nuevamente.

--
Miguel Da Silva.
Servicio de Informatica.
Facultad de Ciencias.
Reply to: