On 11/29/06, Roberto Leiva M. (Lista) <[EMAIL PROTECTED]> wrote: > Tengo un firewall Centos 4.4 al dia con shorewall. > > En el log se aprecian las sgtes lineas: > > Nov 29 11:37:49 gw sshd(pam_unix)[11215]: authentication failure; logname= > uid=0 euid=0 tty=ssh > ruser= rhost=66.192.113.8 user=root > Nov 29 11:37:52 gw sshd(pam_unix)[11217]: authentication failure; logname= > uid=0 euid=0 tty=ssh > ruser= rhost=66.192.113.8 user=root > Nov 29 11:37:56 gw sshd(pam_unix)[11219]: authentication failure; logname= > uid=0 euid=0 tty=ssh > ruser= rhost=66.192.113.8 user=root > Nov 29 11:38:00 gw sshd(pam_unix)[11221]: authentication failure; logname= > uid=0 euid=0 tty=ssh > ruser= rhost=66.192.113.8 user=root > [...] se repiten constantemente > > sera un ataque de fuerza bruta ?? que se puede hacer ?? > > datos: > [EMAIL PROTECTED] ~]# traceroute 66.192.113.8 > traceroute to 66.192.113.8 (66.192.113.8), 30 hops max, 38 byte packets > 1 200.75.24.65 (200.75.24.65) 0.523 ms 0.810 ms 0.334 ms > 2 200.55.210.62 (200.55.210.62) 0.579 ms 0.558 ms 0.531 ms > 3 CORE-INT-1.gtdinternet.com (200.75.0.66) 0.649 ms 0.671 ms 0.596 ms > 4 CORE-INT-2.gtdinternet.com (201.238.238.26) 0.959 ms 0.850 ms 0.806 ms > 5 san1-gtd-1-cl.san.seabone.net (195.22.221.89) 109.892 ms 109.477 ms > 109.273 ms > 6 ash1-new1-racc1.new.seabone.net (195.22.216.225) 153.307 ms 153.378 ms > 153.707 ms > 7 * * * > 8 core-02-ge-0-3-0-1.asbn.twtelecom.net (64.129.249.17) 146.813 ms > 147.995 ms 147.139 ms > 9 dist-02-so-0-0-0-0.roch.twtelecom.net (66.192.240.8) 197.103 ms > 158.303 ms 153.267 ms > 10 hagg-02-ge-3-3-0-504.roch.twtelecom.net (66.192.240.155) 152.857 ms > 167.992 ms 159.473 ms > 11 207.250.127.10 (207.250.127.10) 242.489 ms 213.470 ms 270.765 ms > 12 mail.rochesterymca.org (66.192.113.8) 241.597 ms 282.269 ms 192.596 ms > > > atte. > -- > Roberto Leiva M. > Santiago - Chile > Fuera de lo que menciona Rodrigo, puedes bloquear por iptables el exceso de conexiones desde una ip, no usar acceso via login , si no solo con keys o cambiar el puerto de ssh para conexiones desde Internet Saludos -- Miguel Angel Amador L. [ jokercl at gmail dot com | User #297569 counter.li.org ] From [EMAIL PROTECTED] Wed Nov 29 12:09:17 2006 From: [EMAIL PROTECTED] (Baronti) Date: Wed Nov 29 12:04:24 2006 Subject: HOLA! In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]>
Bienvenido Edwin. (Para que no digan que somos machistas) El día 29/11/06, Edwin Emilio Hernández Lambraño <[EMAIL PROTECTED]> escribió: > > Acabo de ingresar a esta lista de distribución de linux, espero encontrar > apoyo en cada uno de ustedes. > > gracias. > > > > > Edwin Hernández > > ------------------------------ > Visita MSN Latino Noticias: Todo lo que pasa en el mundo y en tu país, ¡en > tu idioma! Clic aquí <http://g.msn.com/8HMAESUS/2731??PS=47575> ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20061129/778e67f1/attachment.html From [EMAIL PROTECTED] Wed Nov 29 12:22:32 2006 From: [EMAIL PROTECTED] (=?ISO-8859-1?Q?LUIS_ANTONIO_MU=D1OZ_URRUTIA?=) Date: Wed Nov 29 12:17:38 2006 Subject: HOLA LISTA In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> > Disculpen pero se me callo el Chileno-huaso, asi que a todos quienes me > dicen que tengo que buscar la version actualizada de fedora core quiero que > me digan como m13rd@ la obtengo si no poseo internet y utilizo internet en > clases... y donde estudio tienen la gran mayoria de puertos cerrados > sobretodo aquel de transferencia de ficheros "ftp" y el mensaje de error de > aquel querido apache es problema con el log en la linea 505 creo que se debe > a falta de configuracion en los log... para aquel que me diga y para que > estoy intentando montar sql,apache,php si no tengo internet es por puro > conocimiento personal puesto que estudio programacion. ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20061129/6977cc0e/attachment.html From [EMAIL PROTECTED] Wed Nov 29 12:24:41 2006 From: [EMAIL PROTECTED] (Miguel Angel Amador L) Date: Wed Nov 29 12:19:47 2006 Subject: posible ataque ?? In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On 11/29/06, Ismael Diaz <[EMAIL PROTECTED]> wrote: > [...] > Al parecer se trata de un ataque del tipo BruteForce SSH, debes solucionarlo > mediante tu fw, en lo personal lo manejo mediante tablas de bloqueo con > PF/OpenBSD, dando enfacis a los tiempos maximos de conexion por segundo, con > iptables se debe poder hacer algo similar (aunq no estoy seguro), para mas > info te recomiendo mirar este peque~o howto, > http://www.bsd.cl/index.php/Bloquear_BruteForce_SSH_con_PF > , y si quieres mas aun o no sabes que es pf , te recomiendo leer el FAQ > http://www.openbsd.org/faq/pf/. > > salu2. > > > -- > #define QUESTION ((2b) || !(2b)) No necesariamente se soluciona con el firewall, bajo una misma conexion SSH, el atacante podria probar con varios intentos de login, sin tener que intentar estableces nuevas conexiones, esa parte para que solo acepte X cantidad de intentos de login se debe configurar en el servicio SSH. Pd: esta es una lista "Linux", nadie cambia el sistema operativo para arreglar un problema... Ahora en iptables seria deberias ocupar algo relacionado con la opcion '-m recent' , una busqueda en google bastaria -- Miguel Angel Amador L. [ jokercl at gmail dot com | User #297569 counter.li.org ] From [EMAIL PROTECTED] Wed Nov 29 12:25:01 2006 From: [EMAIL PROTECTED] (kasscie) Date: Wed Nov 29 12:20:07 2006 Subject: NOQUEUE: reject: RCPT from Message-ID: <[EMAIL PROTECTED]> Buenas tardes listeros mi consulta es la siguiente resulta que tengo instalado un servidor de correos con spamassasin cyrus, amavis y clamav... de aqui a un tiempo los mensajes NOQUEUE: reject: RCPT from estan saliendo muchos , son muchos los correos que estan siendo rechazados y los host que rechazan son vàlidos... he buscado si mi server se encuentra en listas negras pero nada si alguien pudiese ayudarme a solucionar este problema le agradeceria de antemano tengo instalado postgrey = ademas he aadido los host a las listas blancas de postgrey y nada atte yohanna monsalvez ______________________________________________ LLama Gratis a cualquier PC del Mundo. Llamadas a fijos y móviles desde 1 céntimo por minuto. http://es.voice.yahoo.com ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20061129/a7b31f02/attachment.html From [EMAIL PROTECTED] Wed Nov 29 12:27:57 2006 From: [EMAIL PROTECTED] (Rodrigo Fuentealba) Date: Wed Nov 29 12:23:05 2006 Subject: HOLA LISTA In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> 2006/11/29, LUIS ANTONIO MUÑOZ URRUTIA <[EMAIL PROTECTED]>: > Lo siento no conozco el comando yum que hace?? si no tienes internet, dificilmente te puede ser de mayor utilidad. > para quien me dijo del asunto > de las mayusculas lo siento... pero tienes razon no me di cuenta (me > preocupaba del contenido de los mensajes, no de como estaban escritos.) ok. [ aviso de utilidad publica ] > y que el php triad existe para Linux?? Explicacion tecnica: PHP Triad es la compilacion de Apache + PHP + MySQL para Windows, por lo que tecnicamente se separa en estos tres paquetes (y muchos mas!!!) cuando lo quieres correr en Linux. > y por ultimo alguien sabe > de donde descargar el programa Alien. alien? para convertir entre debs y rpms??? -- Rodrigo Fuentealba Cartes Desarrollador de Sistemas Web Registered User 387639 - http://counter.li.org
