Re: Ataque a servidor debian

To: debian user spanish list <debian-user-spanish@lists.debian.org>
Subject: Re: Ataque a servidor debian
From: Victor H De la Luz <itztli@gmail.com>
Date: Tue, 22 Feb 2011 09:21:43 -0600
Message-id: <[🔎] AANLkTi=y1V+ZHXBFaZWidBEON6K-OVKBO3tv04oFoC85@mail.gmail.com>
In-reply-to: <[🔎] AANLkTikoVMkBQbMQYhnekKWzyV7RJ4kA4m3T=c5pfx9d@mail.gmail.com>
References: <[🔎] AANLkTikbjSrr4FFSF=Aum51qmmEHaw0CGdC3XbN5D5mw@mail.gmail.com> <[🔎] AANLkTikoVMkBQbMQYhnekKWzyV7RJ4kA4m3T=c5pfx9d@mail.gmail.com>

2011/2/22 Marc Aymerich <glicerinu@gmail.com>:
>
>
> On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz <itztli@gmail.com>
> wrote:
>>
>> Saludos!
>>
>> El dia de ayer recibi un ataque, el cual me dejo sin server un par de
>> horas, despues de actuar rapidamente (solo tenia algunos segundos
>> despues de reiniciar el server (en un lugar muy muy lejano)) pude
>> bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que
>> mi server esta soportando el ataque.
>>
>> En los logs del sistema encontre (y sigo encontrando) lo siguiente
>>
>> /var/log/auth.log
>>
>> Feb 21 17:36:17  sshd[2227]: Invalid user claude from 114.70.60.247
>> Feb 21 17:37:33  sshd[2229]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>> Feb 21 17:37:43  sshd[2229]: Invalid user apache from 123.214.25.35
>> Feb 21 17:38:22  sshd[2232]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>> Feb 21 17:38:22  sshd[2232]: Did not receive identification string
>> from 115.249.0.138
>> Feb 21 17:41:16  sshd[2233]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>>
>> Lo que me interesa es saber quien diablos esta atacando (logicamente
>> las IPs no estan registradas).
>>
>> Esta inflando mis logs y temo un ataque diferente. Mi server esta en
>> produccion y dudo mucho poder moverlo, ademas de que es un servidor
>> remoto.
>>
>> Algun consejo?
>
> No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba
> el servidor entero?? O los logs que has puesto no tienen nada que ver con el
> ataque que comentas?
>
> --
> Marc
>

El servidor dejo de responder (http). Al intentar logearme (ssh) el
servidor no respondia. Asi que reinicie el servidor, a los pocos
segundos se volvia a caer, asi que me costo mucho trabajo revisar los
logs y encontre justo las lineas que les envie. Busque en la internet
y encontre la forma de bloquearlos con iptables.

Con 2 lineas de configuracion el servidor se estabilizo, pero al
revisar de nuevo los logs (ayer), habia cientos de intentos de logeo.
Por eso el correo, que hacer para detenerlos? aun cuando ya no afectan
al server.

Estoy instalando denyhost, y tratando de contactar los due;os de las
ips (al parecer coreanos) para ponerlos al tanto. Tambien estoy
revisando la forma de automatizar el proceso.

Gracias a todos y si tienen mas sugerencias, se los agradeceria.

-- 
ItZtLi

Reply to:

Follow-Ups:
- Re: Ataque a servidor debian
  - From: Juan Antonio <pushakk@limbo.ari.es>
- Re: Ataque a servidor debian
  - From: Marc Aymerich <glicerinu@gmail.com>

References:
- Ataque a servidor debian
  - From: Victor H De la Luz <itztli@gmail.com>
- Re: Ataque a servidor debian
  - From: Marc Aymerich <glicerinu@gmail.com>

Prev by Date: Re: Ataque a servidor debian
Next by Date: Re: Ataque a servidor debian
Previous by thread: Re: Ataque a servidor debian
Next by thread: Re: Ataque a servidor debian
Index(es):
- Date
- Thread