On 4/8/06, Iñaki <[EMAIL PROTECTED]> wrote: > El Sábado, 8 de Abril de 2006 18:08, Muammar Wadih El Khatib Rodriguez > escribió: > > Hola, saludos. El logcheck lleva ya dos días enviandome unos mensajes > > de seguridad que provienen de una misma ip en china. Hice un > > chkrootkit y no tengo nada fuera de lo normal, todo aparece como no > > infectado. Ahora lo que me preocupa es que me parece que desde esa > > dirección ip están tratando de sacarme el password del root, pues > > salen muchos logines fallidos para el root en intervalos muy cortos y > > precisos de tiempo (2 segundos para cada intervalo), el número de > > intentos es alrededor de 80. > > Deberías especificar qué mecanismo usan para intentar loguearse en tu sistema. > Supongo que es SSH por lo que yo te recomiendo ENCARECIDAMENTE que > deshabilites la posibilidad de loguarte como root por SSH (revisa > el /etc/ssh/sshd_config, pon "no" en la opción correspondiente y reinicia el > servicio SSH). > > > > > Y para el usuario que uso yo comunmente > > el comando w no muestra información luego de esos intentos de > > intrusión. > > Hice un ls -alF /home/usuario/.bash_history y los permisos andan > > bien. No se han creado en mi sistema usuarios que desconozca. > > Todo eso que dices podrían haberlo modificado y camuflado. No quiero alertarte > ni mucho menos, pero no es nada del otro mundo hacer una tarea de cron que a > una determinada hora te haga un estropicio en tu ordenador y tras ello > elimine todos los rastros e incluso la propia tarea de cron. > > > > > ¿Debería instalar algún firewall? > > Sí, siempre. > > > > o que opinión me pueden dar para no > > quedar vulnerable en frente de ataques o usuarios de ese tipo. > > Un buen firewall y SOBRE TODO unas buenas claves en tus usuarios. Sin olvidar > lo que te decía al principio de deshabilitar el acceso por SSH como root. > > > > -- > y hasta aquí puedo leer... > > Oye, pues si por ssh y por el telnet. Voy a tratar de configurar mejor el telnet y el ssh. De todas formas si no puedo configurar bien telnet lo elimino. Otra cosa que andube leyendo, y de hecho bajé, es un script que busca las contraseñas por fuerza bruta y utiliza pop3 si esta disponible en el servidor remoto. Debo configurar mejor mi pop3 también. Muchas gracias por contestarme.
PD. Voy a leer que firewall instalar y cómo educarlo bien. Saludos -- Muammar El Khatib. Linux user: 403107.
