Re: Ataque a servidor debian
Preguntas:
2011/2/21 Manuel Trujillo (TooManySecrets) <toomany@toomany.net>:
> On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz <itztli@gmail.com> wrote:
>> Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247
>> Feb 21 17:37:33 sshd[2229]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>
> Esto es el típico "ataque" (por llamarlo de alguna manera) que se
> realiza con redes zombies de máquinas (aunque hay algún patán
> scriptkiddie que lo hace desde su máquina).
>
> Mi consejo:
> 1- cambia el puerto al SSH (es algo que siempre hago por defecto en
> cualquier server con IP pública).
Para conectarme al server, la compañia con quien contrate me dio un
archivo .pem, la pregunta es: Si cambio el puerto de mi servicio ssh,
el archivo .pem sigue siendo valido o es necesario volverlo a crear?
> 2- puedes instalarte también algún programa tipo "fail-to-ban"
> (perdona pero como no los uso no recuerdo ahora mismo el nombre de
> ninguno). Basicamente lo que hacen es vigilar un puerto determinado
> que tú le indiques (el 22 típico o el que le hayas puesto nuevo al
> ssh), y según las indicaciones que tú le hayas programado, cierran la
> conexión a la IP de quien esté intentando hacer... pues lo que te está
> pasando a tí.
oka
> 3- si puedes y tienes tiempo, procesa tu archivo log y créate algún
> script que vaya enviando a las direcciones abuse de cada compañía un
> aviso conforme alguien, desde la dirección XXX, según tus logs (que
> deberás adjuntar para esa IP dada), está intentando acceder "por malas
> artes" a tu máquina sin tu consentimiento, y que si no hacen algo te
> verás obligado a interponer denuncia a ellos, como propietarios de la
> IP desde donde se está realizando el ataque.
>
Si, ya estoy investigando quienes son los dueños de las IPs, por lo
que veo es un servicio coreano de internet.
> Saludines.
Igualmente!
--
ItZtLi
Reply to: