On 5/13/05, gesala gesala <[EMAIL PROTECTED]> wrote: > Hola a todos: > Hoy por la ma�ana viendo los logs de apache me he encontrado las > siguientes lineas: > > 81.192.173.101 - - [13/May/2005:03:31:50 +0200] "GET > /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a > HTTP/1.0" 404 317 "-" "-" > 61.74.254.142 - - [13/May/2005:03:35:25 +0200] "CONNECT > maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-" > 61.74.254.142 - - [13/May/2005:03:35:26 +0200] "CONNECT > maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-" > 61.74.254.142 - - [13/May/2005:03:35:28 +0200] "CONNECT > maila.microsoft.com:25 HTTP/1.0" 405 340 "-" "-" > 81.22.194.62 - - [13/May/2005:04:29:00 +0200] "GET > /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a > HTTP/1.0" 404 317 "-" "-" > > Tengo un mosqueo de la leche . > Parece en la 1� y ultima peticion el servidor apache les da un error > 404. Me equivoco? y las lineas del medio no las logro entender. > No te preocupes, esas lineas del log hacen referencia a un ataque aprovechando una vulnerabilidad de IIS y un servidor infectado con Code Red Si buscas en google de "default.ida" te dar� m�s informaci�n, pero te dejo un par de links para ahorrarte el trabajo ;-) http://archives.serverwatch.com/0108/msg00001.html http://www.apacheweek.com/features/codered
> Me han hackeado? He mirado los logs de mi maquina pero no parece que > han hecho nada mas. > > Por otra parte, tengo un servidor ssh y de vez en cuando veo intentos > de login desde una ip "extra�a", la cual intenta logearse > repetidamente con nombres ingleses, por supuesto no logra entrar ya > que mi maquina no tiene esos nombres. Hay alguna forma de bloquear > durante un tiempo una ip que intenta logearse y falla por ejemplo 3 > veces? > O alguna otra idea? > > Sobre los intentos de conexi�n por ssh, no creo que sea necesario el bloqueo de IP, pero si quieres hacerlo, prueba portsentry: # apt-cache show portsentry Package: portsentry Priority: optional Section: non-free/net Installed-Size: 130 Maintainer: Guido Guenther <[EMAIL PROTECTED]> Architecture: i386 Version: 1.1-3 Depends: libc6 (>= 2.2.4-4), net-tools, procps, debconf, libfile-temp-perl Recommends: tcpd Suggests: logcheck Filename: pool/non-free/p/portsentry/portsentry_1.1-3_i386.deb Size: 59420 MD5sum: f8574cb4259e4936ba28239e1a450be6 Description: Portscan detection daemon PortSentry has the ability to detect portscans(including stealth scans) on the network interfaces of your machine. Upon alarm it can block the attacker via hosts.deny, dropped route or firewall rule. It is part of the Abacus program suite. . Note: If you have no idea what a port/stealth scan is, I'd recommend to have a look at http://www.psionic.com/abacus/portsentry/ before installing this package. Otherwise you might easily block hosts you'd better not(e.g. your NFS-server, name-server, ...). De todas formas antes de eso, yo aseguraria el servidor ssh al m�ximo. Cambia el puerto de escucha del servidor ssh - seguridad mediante la oscuridad que dir�an los entendidos. Normalmente estos ataques vienen dados por un scanner de puertos y cuando detectan el puerto 22 abierto intentan logearse con usuarios tipo (lo que te est� pasando a t�). Permite s�lo ssh versi�n 2, nada de rhosts o la versi�n 1. No permitir logearse a root, usar certificados... Hay un mont�n de manuales en internet para asegurar ssh, y creo que nunca est� de m�s aumentar la seguridad. -
