RE: Ataque en servidor debian 7
Como quito el html? Tengo fail2ban pero no se de donde tomar el log para bloquear las peticiones de esas IPs. Estoy probando chkrootkit, jaja ya me salio: Checking `lkm'... You have 8 process hidden for readdir commandYou have 9 process hidden for ps commandchkproc: Warning: Possible LKM Trojan installed Ahora a investigar como quitarlo. Gracias camaleon To: debian-user-spanish@lists.debian.org From: noela...@gmail.com Subject: Re: Ataque en servidor debian 7 Date: Wed, 20 May 2015 17:24:15 + El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: Buenas tardes. (ese html...) Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el ancho de banda de subida. Ejecute un comando netstat -antop para ver la conexiones activas y hay muchas como esta tcp0 1 m.i.i.p:34728 115.231.218.106:1987SYN_SENT24089/ls -la on (0.82/1/0)tcp 0 1 m.i.i.p:34796 115.231.218.106:1987SYN_SENT 17636/grep A on (1.86/1/0)tcp0 1 m.i.i.p:34807 115.231.218.106:1987SYN_SENT18536/pwdon (2.52/2/0)tcp 0 1 m.i.i.p:34873 115.231.218.106:1987SYN_SENT 18955/gnome-termina on (2.41/2/0) Intentando bloquear mate los procesos con kill . Pero enseguida aparecen mas. Después bloquear la IP. iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien me podria guiar en que podria hacer? Pues yo haría dos cosas: 1/ Ejecutar un anti-rootkit 2/ Fail2ban Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.05.20.17.24...@gmail.com
Re: Ataque en servidor debian 7
El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: Buenas tardes. (ese html...) Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el ancho de banda de subida. Ejecute un comando netstat -antop para ver la conexiones activas y hay muchas como esta tcp0 1 m.i.i.p:34728 115.231.218.106:1987SYN_SENT24089/ls -la on (0.82/1/0)tcp 0 1 m.i.i.p:34796 115.231.218.106:1987SYN_SENT 17636/grep A on (1.86/1/0)tcp0 1 m.i.i.p:34807 115.231.218.106:1987SYN_SENT18536/pwdon (2.52/2/0)tcp 0 1 m.i.i.p:34873 115.231.218.106:1987SYN_SENT 18955/gnome-termina on (2.41/2/0) Intentando bloquear mate los procesos con kill . Pero enseguida aparecen mas. Después bloquear la IP. iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien me podria guiar en que podria hacer? Pues yo haría dos cosas: 1/ Ejecutar un anti-rootkit 2/ Fail2ban Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.05.20.17.24...@gmail.com
Ataque en servidor debian 7
Buenas tardes. Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el ancho de banda de subida. Ejecute un comando netstat -antop para ver la conexiones activas y hay muchas como esta tcp0 1 m.i.i.p:34728 115.231.218.106:1987SYN_SENT 24089/ls -la on (0.82/1/0)tcp0 1 m.i.i.p:34796 115.231.218.106:1987SYN_SENT17636/grep A on (1.86/1/0)tcp0 1 m.i.i.p:34807 115.231.218.106:1987SYN_SENT18536/pwd on (2.52/2/0)tcp0 1 m.i.i.p:34873 115.231.218.106:1987 SYN_SENT18955/gnome-termina on (2.41/2/0) Intentando bloquear mate los procesos con kill . Pero enseguida aparecen mas. Después bloquear la IP. iptables -I INPUT -s 115.231.0.0/16 -j DROPiptables -I OUTPUT -s 115.231.0.0/16 -j DROP Pero las conexiones siguen apareciendo, alguien me podria guiar en que podria hacer? Gracias y buena vibra.
Re: Ataque en servidor debian 7
El Wed, 20 May 2015 10:35:59 -0700, Memo Robles escribió: To: debian-user-spanish@lists.debian.org From: noela...@gmail.com Subject: Re: Ataque en servidor debian 7 Date: Wed, 20 May 2015 17:24:15 + El Wed, 20 May 2015 10:11:33 -0700, Memo Robles escribió: Buenas tardes. (ese html...) Buen dia a tod@s, me podrian apoyar por favor; tengo 1 año con un servidor debian 7 hace 1 semana vi en cacti que se estaba consumiendo el ancho de banda de subida. (...) Pues yo haría dos cosas: 1/ Ejecutar un anti-rootkit 2/ Fail2ban Como quito el html? https://wiki.debian.org/es/DebianMailingLists#C.2BAPM-mo_enviar_mensajes_a_la_lista_usando_un_formato_de_texto_plano Tengo fail2ban pero no se de donde tomar el log para bloquear las peticiones de esas IPs. Son peticiones de salida, no de entrada, o eso me pareció. Es decir, como si tu equipo estuviera enviando datos a un centro de control ubicado en China (por la IP). sm01@stt008:~$ whois 115.231.218.106 % [whois.apnic.net] % Whois data copyright termshttp://www.apnic.net/db/dbcopyright.html % Information related to '115.231.216.0 - 115.231.223.255' inetnum:115.231.216.0 - 115.231.223.255 netname:CHINANET-ZJ-SX country:CN descr: CHINANET-ZJ Shaoxing node network descr: Zhejiang Telecom admin-c:CZ4-AP tech-c: CS64-AP mnt-irt:IRT-CHINANET-ZJ status: ALLOCATED NON-PORTABLE changed:zjnoc_i...@163.com 20141014 mnt-by: MAINT-CHINANET-ZJ mnt-lower: MAINT-CN-CHINANET-ZJ-SX source: APNIC Estoy probando chkrootkit, jaja ya me salio: Checking `lkm'... You have 8 process hidden for readdir commandYou have 9 process hidden for ps commandchkproc: Warning: Possible LKM Trojan installed Ahora a investigar como quitarlo. Gracias camaleon Es que tenía toda la pinta de algún bicho que está instalado y ejecutando comandos del sistema pero analiza bien los procesos que te apunte el escáner para descartar un falso positivo. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2015.05.20.17.47...@gmail.com
Re: Ataque a servidor debian
2011/2/22 Manuel Trujillo (TooManySecrets) toom...@toomany.net: 2011/2/22 Marc Aymerich glicer...@gmail.com: A menos que tu servidor sea un Intel 286 no sabría como justificar que un simple ataque de fuerza bruta contra un SSH tumbe el servidor :) +1 a eso. -- --- Have a nice day ;-) TooManySecrets /\ ASCII Ribbon Campaign | FreeBSD Since 4.1 \ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994. X - NO Word docs in e-mail | OpenSUSE Member / \ - http://www.toomany.net | OpenSolaris Community Member --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimnl7dvn2qkl0kypjmzvkgqxthyjaiv963kf...@mail.gmail.com En estos casos el problema no pasaria por que tu servidor se cayera por un DDOS o brute force al servicio SSH, si es un ataque masivo desde muchas direcciones IP puede ser un simple brute force que solo daria problemas a tu ancho de banda en consumo y podria dejar perfectamente el servidor con problema de conectividad para servicios ssh hacia afuiera en casos hasta localmente, creo que la manera de poder controlarlo es con fail2ban. Saludos Cordiales -- Roberto Quiñones Owner - Service Manager and System ACShell.NET – Internet Services robe...@acshell.net - www.acshell.net San Martin #311 Santiago – CL (Chile) +560981361713 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktim5fm0aklcglddn_an_5qr1fytvsdftfa5op...@mail.gmail.com
Re: Ataque a servidor debian
El día 23 de febrero de 2011 09:34, Roberto Quiñones robe...@acshell.net escribió: 2011/2/22 Manuel Trujillo (TooManySecrets) toom...@toomany.net: 2011/2/22 Marc Aymerich glicer...@gmail.com: A menos que tu servidor sea un Intel 286 no sabría como justificar que un simple ataque de fuerza bruta contra un SSH tumbe el servidor :) +1 a eso. -- --- Have a nice day ;-) TooManySecrets /\ ASCII Ribbon Campaign | FreeBSD Since 4.1 \ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994. X - NO Word docs in e-mail | OpenSUSE Member / \ - http://www.toomany.net | OpenSolaris Community Member --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimnl7dvn2qkl0kypjmzvkgqxthyjaiv963kf...@mail.gmail.com En estos casos el problema no pasaria por que tu servidor se cayera por un DDOS o brute force al servicio SSH, si es un ataque masivo desde muchas direcciones IP puede ser un simple brute force que solo daria problemas a tu ancho de banda en consumo y podria dejar perfectamente el servidor con problema de conectividad para servicios ssh hacia afuiera en casos hasta localmente, creo que la manera de poder controlarlo es con fail2ban. Saludos Cordiales -- Roberto Quiñones Owner - Service Manager and System ACShell.NET – Internet Services robe...@acshell.net - www.acshell.net San Martin #311 Santiago – CL (Chile) +560981361713 Olvide comentar que es recomendable que cambie el puerto del SSH y que el archivo pem que te paso el proveedor no tiene mayor incidencia, entiendo que es el archivo del certificado, debiera funcionar no importando el puerto. Saludos -- Roberto Quiñones Owner - Service Manager and System ACShell.NET – Internet Services robe...@acshell.net - www.acshell.net San Martin #311 Santiago – CL (Chile) +560981361713 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTi=fmlyvwgl2sbjk4bcvq-_fdflz-lbsrfsmb...@mail.gmail.com
Re: Ataque a servidor debian
2011/2/23 Roberto Quiñones robe...@acshell.net 2011/2/22 Manuel Trujillo (TooManySecrets) toom...@toomany.net: 2011/2/22 Marc Aymerich glicer...@gmail.com: A menos que tu servidor sea un Intel 286 no sabría como justificar que un simple ataque de fuerza bruta contra un SSH tumbe el servidor :) +1 a eso. -- --- Have a nice day ;-) TooManySecrets /\ ASCII Ribbon Campaign | FreeBSD Since 4.1 \ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994. X - NO Word docs in e-mail | OpenSUSE Member / \ - http://www.toomany.net | OpenSolaris Community Member --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimnl7dvn2qkl0kypjmzvkgqxthyjaiv963kf...@mail.gmail.com En estos casos el problema no pasaria por que tu servidor se cayera por un DDOS o brute force al servicio SSH, si es un ataque masivo desde muchas direcciones IP puede ser un simple brute force que solo daria problemas a tu ancho de banda en consumo y podria dejar perfectamente el servidor con problema de conectividad para servicios ssh hacia afuiera en casos hasta localmente, creo que la manera de poder controlarlo es con fail2ban. Un ataque masivo de denegación de servicio con un rate inferior a 0.5 peticiones por minuto?¿ Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key -- Marc
Re: Ataque a servidor debian
El día 23 de febrero de 2011 10:27, Marc Aymerich glicer...@gmail.com escribió: 2011/2/23 Roberto Quiñones robe...@acshell.net 2011/2/22 Manuel Trujillo (TooManySecrets) toom...@toomany.net: 2011/2/22 Marc Aymerich glicer...@gmail.com: A menos que tu servidor sea un Intel 286 no sabría como justificar que un simple ataque de fuerza bruta contra un SSH tumbe el servidor :) +1 a eso. -- --- Have a nice day ;-) TooManySecrets /\ ASCII Ribbon Campaign | FreeBSD Since 4.1 \ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994. X - NO Word docs in e-mail | OpenSUSE Member / \ - http://www.toomany.net | OpenSolaris Community Member --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimnl7dvn2qkl0kypjmzvkgqxthyjaiv963kf...@mail.gmail.com En estos casos el problema no pasaria por que tu servidor se cayera por un DDOS o brute force al servicio SSH, si es un ataque masivo desde muchas direcciones IP puede ser un simple brute force que solo daria problemas a tu ancho de banda en consumo y podria dejar perfectamente el servidor con problema de conectividad para servicios ssh hacia afuiera en casos hasta localmente, creo que la manera de poder controlarlo es con fail2ban. Un ataque masivo de denegación de servicio con un rate inferior a 0.5 peticiones por minuto?¿ Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key -- Marc Pieso que el punto es denter el ataque no importando el rate (tiempo), si es un brute force o un denial of service, por eso recomiendo fail2ban. Saludos Coridiales -- Roberto Quiñones Owner - Service Manager and System ACShell.NET – Internet Services robe...@acshell.net - www.acshell.net San Martin #311 Santiago – CL (Chile) +560981361713 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktinuyfuvemtncn++nfvjb3+1m67gbsnbepqv_...@mail.gmail.com
Re: Ataque a servidor debian
2011/2/23 Roberto Quiñones robe...@acshell.net El día 23 de febrero de 2011 10:27, Marc Aymerich glicer...@gmail.com escribió: 2011/2/23 Roberto Quiñones robe...@acshell.net 2011/2/22 Manuel Trujillo (TooManySecrets) toom...@toomany.net: 2011/2/22 Marc Aymerich glicer...@gmail.com: A menos que tu servidor sea un Intel 286 no sabría como justificar que un simple ataque de fuerza bruta contra un SSH tumbe el servidor :) +1 a eso. -- --- Have a nice day ;-) TooManySecrets /\ ASCII Ribbon Campaign | FreeBSD Since 4.1 \ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994. X - NO Word docs in e-mail | OpenSUSE Member / \ - http://www.toomany.net | OpenSolaris Community Member --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimnl7dvn2qkl0kypjmzvkgqxthyjaiv963kf...@mail.gmail.com En estos casos el problema no pasaria por que tu servidor se cayera por un DDOS o brute force al servicio SSH, si es un ataque masivo desde muchas direcciones IP puede ser un simple brute force que solo daria problemas a tu ancho de banda en consumo y podria dejar perfectamente el servidor con problema de conectividad para servicios ssh hacia afuiera en casos hasta localmente, creo que la manera de poder controlarlo es con fail2ban. Un ataque masivo de denegación de servicio con un rate inferior a 0.5 peticiones por minuto?¿ Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key -- Marc Pieso que el punto es denter el ataque no importando el rate (tiempo), si es un brute force o un denial of service, por eso recomiendo fail2ban. Buenas Roberto, Estoy de acuerdo en recomendar fail2ban para evitar éxito en ataques de fuerza bruta. Lo que pasa es que un ataque de este tipo no comporta un aumento de carga, y ni mucho menos puede llegar a tumbar un servidor. El diagnostico que se le esta dando no concuerda con los síntomas que comenta el OP. -- Marc
Re: Ataque a servidor debian
Un ataque masivo de denegación de servicio con un rate inferior a 0.5 peticiones por minuto?¿ Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key -- Marc Claramente he dicho que contuve el ataque .), eso no significa que se hayan detenido... Intente cambiar el puerto, pero mi proveedor de servicios tiene su propio firewall, asi que necesito hacerlo en dos pasos. Tambien cerre todos los puertos excepto el 22 (por el momento) y el 80. Cuando hayan configurado el firewall a un puerto menos obvio cambiare el puerto ssh y cerrare el 22. De nuevo, muchas gracias! -- ItZtLi -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktim0artopg+jvs+xpecbxhwym5harkabhqgor...@mail.gmail.com
Re: Ataque a servidor debian
Buenas Roberto, Estoy de acuerdo en recomendar fail2ban para evitar éxito en ataques de fuerza bruta. Me parece perfecto. Lo que pasa es que un ataque de este tipo no comporta un aumento de carga, y ni mucho menos puede llegar a tumbar un servidor. Si es Brute Force puede que no pero si un ataque DDOS, en el caso de el es un brute force y es por eso que sugiero el fail2ban, pero con tu comentario, estoy muy de acuerdo, por eso que no sugeri otra herramienta o alternativa, en lo antes mencionado por mi, solo agregue que si es un DDOS puede suceder que el banda ancha de tu conexion sule ser afectada e incluso el servidor. El diagnostico que se le esta dando no concuerda con los síntomas que comenta el OP. Estoy de acuerdo, pero también es cierto que el señor dice que el ataque ha sido frenado en cierta medida y que aun no es una solucion final. -- Marc Es por ello que sugiero cambiar el puerto del ssh, y si el firewall del proveedor lo limita, que no debiera por que generalmente cuando se contrata un servidor en arriendo, los firewall en muchos casos son compartidos y las politicas de seguridad son permitir todas la conexiones pero si se aplican reglas de seguridad como ataques de ICMP, etc. En definitiva creo que debes exigirle a tu proveedor que te permita cambiar el puerto del ssh por seguridad, cosa que me preocupa que ellos tampoco lo sugieren si es que no has abierto un ticket de ayuda con tu proveedor. Saludos Cordiales. -- Roberto Quiñones Owner - Service Manager and System ACShell.NET – Internet Services robe...@acshell.net - www.acshell.net San Martin #311 Santiago – CL (Chile) +560981361713 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTi=k2znppjm1fzn9v7ajeljqvjdqwroedbkxj...@mail.gmail.com
Re: Ataque a servidor debian
El 23 de febrero de 2011 13:33, Victor H De la Luz itz...@gmail.comescribió: Un ataque masivo de denegación de servicio con un rate inferior a 0.5 peticiones por minuto?¿ Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key -- Marc Claramente he dicho que contuve el ataque .), eso no significa que se hayan detenido... Intente cambiar el puerto, pero mi proveedor de servicios tiene su propio firewall, asi que necesito hacerlo en dos pasos. Tambien cerre todos los puertos excepto el 22 (por el momento) y el 80. Cuando hayan configurado el firewall a un puerto menos obvio cambiare el puerto ssh y cerrare el 22. De nuevo, muchas gracias! -- ItZtLi -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktim0artopg+jvs+xpecbxhwym5harkabhqgor...@mail.gmail.com Dile a tu proveedor que cierre el puerto 22 a cualquier IP y solo dale IP's validas que puedan ingresar de donde trabajas o tienes acceso seguro, eso a nivel de FW, deja que la carga se la lleve el FW, para eso tan esas cosas :) Si necesitas acceso de otro lugar, utiliza un servicio VPN. Slds! -- Andrés Esteban. Ovalle Gahona (kill-9) Ingeniero (E) Computación e Informática Administrador de Sistemas Acepta.com S.A. www.acepta.com Staff DebianChile.cl www.debianchile.cl Movil: 09-5795880 Usuario Linux #456290 (counter.li.org)
Re: Ataque a servidor debian
On Tue, Feb 22, 2011 at 02:17:06AM +0100, Manuel Trujillo (TooManySecrets) wrote: 2011/2/22 Victor H De la Luz itz...@gmail.com: Para conectarme al server, la compañia con quien contrate me dio un archivo .pem, la pregunta es: Si cambio el puerto de mi servicio ssh, el archivo .pem sigue siendo valido o es necesario volverlo a crear? Buena pregunta. Dice la teoría que no debería haber problema alguno (estás usando un intercambio de claves, el puerto es lo que usas simplemente para negociar el mismo). Aunque también es posible que la compañía solo esté permitiendo el acceso a través de ese puerto (o lo que es lo mismo, que ya estén realizando ellos un pre-filtrado). Realmente nunca me he encontrado con ésto y no estoy muy seguro, por lo que lee bien el manual y haz tus pruebas en casa. Por lo tanto, lo que yo haría es simular una prueba de acceso usando intercambio de claves en mi pc local (imagino que tendrás algún pc con linux ¿no?), y comprobar realmente que si cambias el puerto no afecta para nada (no debería, pero el mamón de Murphy en nuestra profesión llega a dar mucho por donde no brilla el Sol). Aparte de ésto, contacta con la compañía con la que estás trabajando y pregúntales si te están haciendo pre-filtrado o no (en otras palabras, que si cambias el puerto del servicio ssh tendrás algún problema o no). Como sugerencia, no recomiendo el cambio de puertos a SSH. Lo que sí recomiendo es: - Si el acceso de administración al equipo se hará de direcciones conocidas, restringe con Netfilter/IPTables o tcpwrappers el acceso al port 22 sólo a esas direcciones. - Si no tienes un listado conocido, hay una técnica bastante efectiva que mencionan en el sitio debian-administration.org, donde se puede bloquear con Netfilter/IPTables a direcciones IP que hagan consultas recurrentes a un port en particular: http://www.debian-administration.org/articles/187 Saludos. -- Pablo Jiménez -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110223204837.gf25...@data.example.net
Re: Ataque a servidor debian
El lun, 21-02-2011 a las 18:36 -0600, Victor H De la Luz escribió: Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque. En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? -- ItZtLi Hola, Puedes utilizar DenyHosts http://denyhosts.sourceforge.net/;, esta contenido en los repositorios de Debian. Bloquea la IPs que hacen un número determinado de intentos de conexión con el servicio ssh mediante la interpretación del log auth.log. Es totalmente configurable, pudiendo poner el número de intentos (tanto como usuario o como root) que creas conveniente. También se puede configurar el tiempo que van ha estar las IPs deshabilitadas. Funciona bastante bien. Un saludo Fran. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1298386039.2122.33.camel@B700544
Re: Ataque a servidor debian
On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz itz...@gmail.comwrote: Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque. En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba el servidor entero?? O los logs que has puesto no tienen nada que ver con el ataque que comentas? -- Marc
Re: Ataque a servidor debian
2011/2/22 Marc Aymerich glicer...@gmail.com On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz itz...@gmail.comwrote: Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque. En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba el servidor entero?? O los logs que has puesto no tienen nada que ver con el ataque que comentas? De todas formas si tienes IP fija puedes usar el /etc/host.deny y el /etc/host.allow para limitar el acceso al servicio ssh solo para tu IP. -- Marc
Re: Ataque a servidor debian
2011/2/22 Marc Aymerich glicer...@gmail.com: On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz itz...@gmail.com wrote: Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque. En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba el servidor entero?? O los logs que has puesto no tienen nada que ver con el ataque que comentas? -- Marc El servidor dejo de responder (http). Al intentar logearme (ssh) el servidor no respondia. Asi que reinicie el servidor, a los pocos segundos se volvia a caer, asi que me costo mucho trabajo revisar los logs y encontre justo las lineas que les envie. Busque en la internet y encontre la forma de bloquearlos con iptables. Con 2 lineas de configuracion el servidor se estabilizo, pero al revisar de nuevo los logs (ayer), habia cientos de intentos de logeo. Por eso el correo, que hacer para detenerlos? aun cuando ya no afectan al server. Estoy instalando denyhost, y tratando de contactar los due;os de las ips (al parecer coreanos) para ponerlos al tanto. Tambien estoy revisando la forma de automatizar el proceso. Gracias a todos y si tienen mas sugerencias, se los agradeceria. -- ItZtLi -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTi=y1v+zhxbfazwidbeon6k-ovkbo3tv04ofo...@mail.gmail.com
Re: Ataque a servidor debian
El 22/02/11 16:21, Victor H De la Luz escribió: 2011/2/22 Marc Aymerich glicer...@gmail.com: On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz itz...@gmail.com wrote: Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque. En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba el servidor entero?? O los logs que has puesto no tienen nada que ver con el ataque que comentas? -- Marc El servidor dejo de responder (http). Al intentar logearme (ssh) el servidor no respondia. Asi que reinicie el servidor, a los pocos segundos se volvia a caer, asi que me costo mucho trabajo revisar los logs y encontre justo las lineas que les envie. Busque en la internet y encontre la forma de bloquearlos con iptables. Con 2 lineas de configuracion el servidor se estabilizo, pero al revisar de nuevo los logs (ayer), habia cientos de intentos de logeo. Por eso el correo, que hacer para detenerlos? aun cuando ya no afectan al server. Estoy instalando denyhost, y tratando de contactar los due;os de las ips (al parecer coreanos) para ponerlos al tanto. Tambien estoy revisando la forma de automatizar el proceso. Gracias a todos y si tienen mas sugerencias, se los agradeceria. Te sugiero que no expongas puertos que no quieras servir al público publicamente. Usa openvpn y un rango reservado para ese tipo de servicios. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d63d530.3000...@limbo.ari.es
Re: Ataque a servidor debian
2011/2/22 Victor H De la Luz itz...@gmail.com 2011/2/22 Marc Aymerich glicer...@gmail.com: On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz itz...@gmail.com wrote: Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque. En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba el servidor entero?? O los logs que has puesto no tienen nada que ver con el ataque que comentas? -- Marc El servidor dejo de responder (http). Al intentar logearme (ssh) el servidor no respondia. Asi que reinicie el servidor, a los pocos segundos se volvia a caer, asi que me costo mucho trabajo revisar los logs y encontre justo las lineas que les envie. Busque en la internet y encontre la forma de bloquearlos con iptables. Con 2 lineas de configuracion el servidor se estabilizo, pero al revisar de nuevo los logs (ayer), habia cientos de intentos de logeo. Por eso el correo, que hacer para detenerlos? aun cuando ya no afectan al server. Estoy instalando denyhost, y tratando de contactar los due;os de las ips (al parecer coreanos) para ponerlos al tanto. Tambien estoy revisando la forma de automatizar el proceso. Gracias a todos y si tienen mas sugerencias, se los agradeceria. Pues lo más probable es que los logs que posteaste no tengan nada que ver con la saturación de tu servidor (para estar seguro tendrías que repasar esos logs y buscar si en algún momento se acepto alguna de las contraseñas del atacante). Hay que investigar más para saber porque se colgó el servidor. Intenta identificar el momento exacto en que todo empezó a ir mal y una vez lo tengas busca en los logs de todos los servicios: apache(error.log, access.log), syslog, messages, postfix, exim.. todo lo que tengas. En alguno de ellos estará el motivo. -- Marc
Re: Ataque a servidor debian
Pues lo más probable es que los logs que posteaste no tengan nada que ver con la saturación de tu servidor (para estar seguro tendrías que repasar esos logs y buscar si en algún momento se acepto alguna de las contraseñas del atacante). Hay que investigar más para saber porque se colgó el servidor. Intenta identificar el momento exacto en que todo empezó a ir mal y una vez lo tengas busca en los logs de todos los servicios: apache(error.log, access.log), syslog, messages, postfix, exim.. todo lo que tengas. En alguno de ellos estará el motivo. -- Marc Yo creo que si... http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/ -- ItZtLi -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikgj5kx6zff8_boqfxenjea-pp82vwnjwrhu...@mail.gmail.com
Re: Ataque a servidor debian
2011/2/22 Victor H De la Luz itz...@gmail.com Pues lo más probable es que los logs que posteaste no tengan nada que ver con la saturación de tu servidor (para estar seguro tendrías que repasar esos logs y buscar si en algún momento se acepto alguna de las contraseñas del atacante). Hay que investigar más para saber porque se colgó el servidor. Intenta identificar el momento exacto en que todo empezó a ir mal y una vez lo tengas busca en los logs de todos los servicios: apache(error.log, access.log), syslog, messages, postfix, exim.. todo lo que tengas. En alguno de ellos estará el motivo. -- Marc Yo creo que si... http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/ A menos que tu servidor sea un Intel 286 no sabría como justificar que un simple ataque de fuerza bruta contra un SSH tumbe el servidor :) -- Marc
Re: Ataque a servidor debian
2011/2/22 Marc Aymerich glicer...@gmail.com: A menos que tu servidor sea un Intel 286 no sabría como justificar que un simple ataque de fuerza bruta contra un SSH tumbe el servidor :) +1 a eso. -- --- Have a nice day ;-) TooManySecrets /\ ASCII Ribbon Campaign | FreeBSD Since 4.1 \ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994. X - NO Word docs in e-mail | OpenSUSE Member / \ - http://www.toomany.net | OpenSolaris Community Member --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktimnl7dvn2qkl0kypjmzvkgqxthyjaiv963kf...@mail.gmail.com
Ataque a servidor debian
Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque. En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? -- ItZtLi -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTikbjSrr4FFSF=aum51qmmehaw0cgdc3xbn5d...@mail.gmail.com
Re: Ataque a servidor debian
El lun, 21-02-2011 a las 18:36 -0600, Victor H De la Luz escribió: Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque. En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? -- ItZtLi Cambia el puerto de ssh y si no puedes, instala fail2ban http://www.fail2ban.org/wiki/index.php/HOWTO_fail2ban_spanish De todos modos a tu servidor le faltan los certificados SSH dpkg-reconfigure openssh-server -- Saludos -- http://mariodebian.com signature.asc Description: This is a digitally signed message part
Re: Ataque a servidor debian
ha reserva del comentario de los demas. Bloquea las IP's de los equipos que te esten atacando. 2011/2/21 Victor H De la Luz itz...@gmail.com Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque. En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? -- ItZtLi -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTikbjSrr4FFSF=aum51qmmehaw0cgdc3xbn5d...@mail.gmail.com -- Izcoalt Alvarez M. Joiz.Net Tu Asesor Tecnológico 50 34 72 12
Re: Ataque a servidor debian
On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz itz...@gmail.com wrote: Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Esto es el típico ataque (por llamarlo de alguna manera) que se realiza con redes zombies de máquinas (aunque hay algún patán scriptkiddie que lo hace desde su máquina). Mi consejo: 1- cambia el puerto al SSH (es algo que siempre hago por defecto en cualquier server con IP pública). 2- puedes instalarte también algún programa tipo fail-to-ban (perdona pero como no los uso no recuerdo ahora mismo el nombre de ninguno). Basicamente lo que hacen es vigilar un puerto determinado que tú le indiques (el 22 típico o el que le hayas puesto nuevo al ssh), y según las indicaciones que tú le hayas programado, cierran la conexión a la IP de quien esté intentando hacer... pues lo que te está pasando a tí. 3- si puedes y tienes tiempo, procesa tu archivo log y créate algún script que vaya enviando a las direcciones abuse de cada compañía un aviso conforme alguien, desde la dirección XXX, según tus logs (que deberás adjuntar para esa IP dada), está intentando acceder por malas artes a tu máquina sin tu consentimiento, y que si no hacen algo te verás obligado a interponer denuncia a ellos, como propietarios de la IP desde donde se está realizando el ataque. Saludines. -- --- Have a nice day ;-) TooManySecrets /\ ASCII Ribbon Campaign | FreeBSD Since 4.1 \ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994. X - NO Word docs in e-mail | OpenSUSE Member / \ - http://www.toomany.net | OpenSolaris Community Member --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTi=xyxc6nxabqxka2spg4hxpy8c21hdxhdvk6...@mail.gmail.com
Re: Ataque a servidor debian
2011/2/22 Itzcoalt Alvarez itzcoal...@joiz.net: ha reserva del comentario de los demas. Bloquea las IP's de los equipos que te esten atacando. Desde luego puede hacerlo, pero dependiendo del trabajo que tenga que realizar esa máquina, es probable que la propia automatización del proceso cree más carga en la misma (con el consiguiente perjuicio para las tareas que deba realizar el servidor), que no un simple cambio de puerto para el SSH. Hay que pensar que estos ataques son automatizados, y en mi experiencia (por lo menos), nunca he visto que varíen el uso del puerto 22. Saludos. -- --- Have a nice day ;-) TooManySecrets /\ ASCII Ribbon Campaign | FreeBSD Since 4.1 \ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994. X - NO Word docs in e-mail | OpenSUSE Member / \ - http://www.toomany.net | OpenSolaris Community Member --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTimq_mTCR+M-FTbuH2rb_j0FzUN4Bk=9p9kmd...@mail.gmail.com
Re: Ataque a servidor debian
Preguntas: 2011/2/21 Manuel Trujillo (TooManySecrets) toom...@toomany.net: On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz itz...@gmail.com wrote: Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Esto es el típico ataque (por llamarlo de alguna manera) que se realiza con redes zombies de máquinas (aunque hay algún patán scriptkiddie que lo hace desde su máquina). Mi consejo: 1- cambia el puerto al SSH (es algo que siempre hago por defecto en cualquier server con IP pública). Para conectarme al server, la compañia con quien contrate me dio un archivo .pem, la pregunta es: Si cambio el puerto de mi servicio ssh, el archivo .pem sigue siendo valido o es necesario volverlo a crear? 2- puedes instalarte también algún programa tipo fail-to-ban (perdona pero como no los uso no recuerdo ahora mismo el nombre de ninguno). Basicamente lo que hacen es vigilar un puerto determinado que tú le indiques (el 22 típico o el que le hayas puesto nuevo al ssh), y según las indicaciones que tú le hayas programado, cierran la conexión a la IP de quien esté intentando hacer... pues lo que te está pasando a tí. oka 3- si puedes y tienes tiempo, procesa tu archivo log y créate algún script que vaya enviando a las direcciones abuse de cada compañía un aviso conforme alguien, desde la dirección XXX, según tus logs (que deberás adjuntar para esa IP dada), está intentando acceder por malas artes a tu máquina sin tu consentimiento, y que si no hacen algo te verás obligado a interponer denuncia a ellos, como propietarios de la IP desde donde se está realizando el ataque. Si, ya estoy investigando quienes son los dueños de las IPs, por lo que veo es un servicio coreano de internet. Saludines. Igualmente! -- ItZtLi -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktikryss9wacqmq0ph_izwd9uns-oyocxsosgm...@mail.gmail.com
Re: Ataque a servidor debian
2011/2/22 Victor H De la Luz itz...@gmail.com: Para conectarme al server, la compañia con quien contrate me dio un archivo .pem, la pregunta es: Si cambio el puerto de mi servicio ssh, el archivo .pem sigue siendo valido o es necesario volverlo a crear? Buena pregunta. Dice la teoría que no debería haber problema alguno (estás usando un intercambio de claves, el puerto es lo que usas simplemente para negociar el mismo). Aunque también es posible que la compañía solo esté permitiendo el acceso a través de ese puerto (o lo que es lo mismo, que ya estén realizando ellos un pre-filtrado). Realmente nunca me he encontrado con ésto y no estoy muy seguro, por lo que lee bien el manual y haz tus pruebas en casa. Por lo tanto, lo que yo haría es simular una prueba de acceso usando intercambio de claves en mi pc local (imagino que tendrás algún pc con linux ¿no?), y comprobar realmente que si cambias el puerto no afecta para nada (no debería, pero el mamón de Murphy en nuestra profesión llega a dar mucho por donde no brilla el Sol). Aparte de ésto, contacta con la compañía con la que estás trabajando y pregúntales si te están haciendo pre-filtrado o no (en otras palabras, que si cambias el puerto del servicio ssh tendrás algún problema o no). Saludos. -- --- Have a nice day ;-) TooManySecrets /\ ASCII Ribbon Campaign | FreeBSD Since 4.1 \ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994. X - NO Word docs in e-mail | OpenSUSE Member / \ - http://www.toomany.net | OpenSolaris Community Member --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTi=mng+1peunmfkpqeaymgdaykkdh8h+oi-zg...@mail.gmail.com
Re: Ataque a servidor debian
2011/2/21 Manuel Trujillo (TooManySecrets) toom...@toomany.net: 2011/2/22 Victor H De la Luz itz...@gmail.com: Para conectarme al server, la compañia con quien contrate me dio un archivo .pem, la pregunta es: Si cambio el puerto de mi servicio ssh, el archivo .pem sigue siendo valido o es necesario volverlo a crear? Buena pregunta. Dice la teoría que no debería haber problema alguno (estás usando un intercambio de claves, el puerto es lo que usas simplemente para negociar el mismo). Aunque también es posible que la compañía solo esté permitiendo el acceso a través de ese puerto (o lo que es lo mismo, que ya estén realizando ellos un pre-filtrado). Realmente nunca me he encontrado con ésto y no estoy muy seguro, por lo que lee bien el manual y haz tus pruebas en casa. Por lo tanto, lo que yo haría es simular una prueba de acceso usando intercambio de claves en mi pc local (imagino que tendrás algún pc con linux ¿no?), y comprobar realmente que si cambias el puerto no afecta para nada (no debería, pero el mamón de Murphy en nuestra profesión llega a dar mucho por donde no brilla el Sol). Aparte de ésto, contacta con la compañía con la que estás trabajando y pregúntales si te están haciendo pre-filtrado o no (en otras palabras, que si cambias el puerto del servicio ssh tendrás algún problema o no). Saludos. ok, mejor pregunto a la compañia, ya me paso una vez que por estar moviendo el .ssh jamas pude acceder de nuevo y con la automatizacion de servicios la ayuda normalmente llega muchas horas despues. -- ItZtLi -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTi=ybd7bhzs5ropbw9kubane37e9_anmo_e+z...@mail.gmail.com
Re: Ataque a servidor debian
Si tenes dudas por el puerto, redirecciona un puerto no usado por iptables y listo. Fail2ban, envia un mail con el whois de la IP, aunque no se si tocandolo un poco, se podra lograr que lo envie a abuse//loquesea Yo uso fail2ban en todos los servidores y lo recomiendo -- Diego http://about.me/diegors/bio