Re: Ataque a servidor debian

To: debian-user-spanish@lists.debian.org
Subject: Re: Ataque a servidor debian
From: Juan Antonio <pushakk@limbo.ari.es>
Date: Tue, 22 Feb 2011 16:24:32 +0100
Message-id: <[🔎] 4D63D530.3000700@limbo.ari.es>
In-reply-to: <[🔎] AANLkTi=y1V+ZHXBFaZWidBEON6K-OVKBO3tv04oFoC85@mail.gmail.com>
References: <[🔎] AANLkTikbjSrr4FFSF=Aum51qmmEHaw0CGdC3XbN5D5mw@mail.gmail.com> <[🔎] AANLkTikoVMkBQbMQYhnekKWzyV7RJ4kA4m3T=c5pfx9d@mail.gmail.com> <[🔎] AANLkTi=y1V+ZHXBFaZWidBEON6K-OVKBO3tv04oFoC85@mail.gmail.com>

El 22/02/11 16:21, Victor H De la Luz escribió:
> 2011/2/22 Marc Aymerich <glicerinu@gmail.com>:
>>
>> On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz <itztli@gmail.com>
>> wrote:
>>> Saludos!
>>>
>>> El dia de ayer recibi un ataque, el cual me dejo sin server un par de
>>> horas, despues de actuar rapidamente (solo tenia algunos segundos
>>> despues de reiniciar el server (en un lugar muy muy lejano)) pude
>>> bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que
>>> mi server esta soportando el ataque.
>>>
>>> En los logs del sistema encontre (y sigo encontrando) lo siguiente
>>>
>>> /var/log/auth.log
>>>
>>> Feb 21 17:36:17  sshd[2227]: Invalid user claude from 114.70.60.247
>>> Feb 21 17:37:33  sshd[2229]: error: Could not load host key:
>>> /etc/ssh/ssh_host_dsa_key
>>> Feb 21 17:37:43  sshd[2229]: Invalid user apache from 123.214.25.35
>>> Feb 21 17:38:22  sshd[2232]: error: Could not load host key:
>>> /etc/ssh/ssh_host_dsa_key
>>> Feb 21 17:38:22  sshd[2232]: Did not receive identification string
>>> from 115.249.0.138
>>> Feb 21 17:41:16  sshd[2233]: error: Could not load host key:
>>> /etc/ssh/ssh_host_dsa_key
>>>
>>> Lo que me interesa es saber quien diablos esta atacando (logicamente
>>> las IPs no estan registradas).
>>>
>>> Esta inflando mis logs y temo un ataque diferente. Mi server esta en
>>> produccion y dudo mucho poder moverlo, ademas de que es un servidor
>>> remoto.
>>>
>>> Algun consejo?
>> No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba
>> el servidor entero?? O los logs que has puesto no tienen nada que ver con el
>> ataque que comentas?
>>
>> --
>> Marc
>>
> El servidor dejo de responder (http). Al intentar logearme (ssh) el
> servidor no respondia. Asi que reinicie el servidor, a los pocos
> segundos se volvia a caer, asi que me costo mucho trabajo revisar los
> logs y encontre justo las lineas que les envie. Busque en la internet
> y encontre la forma de bloquearlos con iptables.
>
> Con 2 lineas de configuracion el servidor se estabilizo, pero al
> revisar de nuevo los logs (ayer), habia cientos de intentos de logeo.
> Por eso el correo, que hacer para detenerlos? aun cuando ya no afectan
> al server.
>
> Estoy instalando denyhost, y tratando de contactar los due;os de las
> ips (al parecer coreanos) para ponerlos al tanto. Tambien estoy
> revisando la forma de automatizar el proceso.
>
> Gracias a todos y si tienen mas sugerencias, se los agradeceria.
>

Te sugiero que no expongas puertos que no quieras servir al público
publicamente. Usa openvpn y un rango reservado para ese tipo de servicios.

Un saludo.

Reply to:

References:
- Ataque a servidor debian
  - From: Victor H De la Luz <itztli@gmail.com>
- Re: Ataque a servidor debian
  - From: Marc Aymerich <glicerinu@gmail.com>
- Re: Ataque a servidor debian
  - From: Victor H De la Luz <itztli@gmail.com>

Prev by Date: Re: Ataque a servidor debian
Next by Date: SQUID: WARNING
Previous by thread: Re: Ataque a servidor debian
Next by thread: Re: Ataque a servidor debian
Index(es):
- Date
- Thread