Re: Filtrado pero entra igual, ¿cómo es posible?
El viernes, 4 jul 2014 a las 12:30 horas (UTC+2),
Horacio escribió:
>Buenas,,, esta es una pregunta para algún experto en seguridad ,,,
>
>En las reglas de iptables tengo filtrada una dirección IP como se ve a
>continuación,,,
>
>DROP all -- 61.174.51.221 0.0.0.0/0
>DROP all -- 116.10.191.164 0.0.0.0/0
>DROP all -- 116.10.191.197 0.0.0.0/0 <-----
>DROP all -- 116.10.191.162 0.0.0.0/0
>DROP all -- 202.109.143.18 0.0.0.0/0
>
>he usado la instrucción
>
>492 sudo /sbin/iptables -A INPUT -s 116.10.191.197 -j DROP
>
>para bloquarla, pero cuando analizo los logs,,, con,,,
>
>sudo cat /var/log/auth.log|grep ssh2|tail -80
>
>ops sorpresa aparece esto,,,
>
>Jul 4 01:59:24 nubehoracio sshd[22939]: Failed password for root from
>116.10.191.197 port 53743 ssh2
>Jul 4 01:59:26 nubehoracio sshd[22939]: Failed password for root from
>116.10.191.197 port 53743 ssh2
>Jul 4 01:59:28 nubehoracio sshd[22939]: Failed password for root from
>116.10.191.197 port 53743 ssh2
>
>El tipo sigue haciendo ataques,,,
>
>La máquina en cuestión es un VPS y desde un tiempo a esta parte estoy
>sufriendo ataques de fuerza bruta por parte de IP asígnadas a la red
>TOR,, he podido filtrar a todas menos a esa, que me sigue jodiendo,,
>
>Alguien me puede decir como ha vulnerado la seguridad?
>
>Saludos,,,
>
>
Puede ser que haya una regla anterior que se aplique a esos paquetes y
permita el paso. Por ejemplo, puede que anteriormente hayas permitido
todo el tráfico ssh.
Algo así como
-A INPUT -p tcp --dport 53743 -j ACCEPT
-A INPUT -s 116.10.191.197 -j DROP
permitiría el tráfico tcp entrante desde la IP 116.10.191.197 con
destino al puerto 53743 pero le bloquearía el de puertos.
Saludos.
--
Manolo Díaz
Reply to: