[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ataque a servidor debian



2011/2/23 Roberto Quiñones <roberto@acshell.net>
El día 23 de febrero de 2011 10:27, Marc Aymerich
<glicerinu@gmail.com> escribió:
>
>
> 2011/2/23 Roberto Quiñones <roberto@acshell.net>
>>
>> 2011/2/22 Manuel Trujillo (TooManySecrets) <toomany@toomany.net>:
>> > 2011/2/22 Marc Aymerich <glicerinu@gmail.com>:
>> >> A menos que tu servidor sea un Intel 286 no sabría como justificar que
>> >> un
>> >> simple ataque de fuerza bruta contra un SSH tumbe el servidor :)
>> >
>> > +1 a eso.
>> >
>> > --
>> >
>> > ---------------------------------------------------------------------------------------
>> > Have a nice day  ;-)
>> > TooManySecrets
>> >
>> > /"\   ASCII Ribbon Campaign  | FreeBSD Since 4.1
>> > \ / - NO HTML/RTF in e-mail  | GNU/Linux Since 1994.
>> >  X  - NO Word docs in e-mail | OpenSUSE Member
>> > / \  - http://www.toomany.net   | OpenSolaris Community Member
>> >
>> > ---------------------------------------------------------------------------------------
>> >
>> >
>> > --
>> > To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>> > with a subject of "unsubscribe". Trouble? Contact
>> > listmaster@lists.debian.org
>> > Archive:
>> > [🔎] AANLkTimNL7Dvn2QKL0kYpJmZvKGQxthyJAiV963KfGdY@mail.gmail.com" target="_blank">http://lists.debian.org/[🔎] AANLkTimNL7Dvn2QKL0kYpJmZvKGQxthyJAiV963KfGdY@mail.gmail.com
>> >
>> >
>>
>> En estos casos el problema no pasaria por que tu servidor se cayera
>> por un DDOS o brute force al servicio SSH, si es un ataque masivo
>> desde muchas direcciones IP puede ser un simple brute force que solo
>> daria problemas a tu ancho de banda en consumo y podria dejar
>> perfectamente el servidor con problema de conectividad para servicios
>> ssh hacia afuiera en casos hasta localmente, creo que la manera de
>> poder controlarlo es con fail2ban.
>>
>
> Un ataque masivo de denegación de servicio con un rate inferior a 0.5
> peticiones por minuto?¿
> Feb 21 17:36:17  sshd[2227]: Invalid user claude from 114.70.60.247
> Feb 21 17:37:33  sshd[2229]: error: Could not load host key:
> /etc/ssh/ssh_host_dsa_key
> Feb 21 17:37:43  sshd[2229]: Invalid user apache from 123.214.25.35
> Feb 21 17:38:22  sshd[2232]: error: Could not load host key:
> /etc/ssh/ssh_host_dsa_key
> Feb 21 17:38:22  sshd[2232]: Did not receive identification string
> from 115.249.0.138
> Feb 21 17:41:16  sshd[2233]: error: Could not load host key:
> /etc/ssh/ssh_host_dsa_key
>
> --
> Marc
>

Pieso que el punto es denter el ataque no importando el rate (tiempo),
si es un brute force o un denial of service, por eso recomiendo
fail2ban.


Buenas Roberto, 
Estoy de acuerdo en recomendar fail2ban para evitar éxito en ataques de fuerza bruta. Lo que pasa es que un ataque de este tipo no comporta un aumento de carga, y ni mucho menos puede llegar a tumbar un servidor. El diagnostico que se le esta dando no concuerda con los síntomas que comenta el OP. 

-- 
Marc
Reply to: