Con respecto al tema, de que ves intentos de loguin, en tu servidor, mira, yo cuando eh trabajado en servidor con IP publicas de gran trafico vas encontrar pruebas de 5000 maneras distintas ya que hay gente con tiempo, para hacer esto de una manera muy automatizada, es mas un poco de ganas y con php programas un escuchador de socket y con la librer�as adecuadas podes hacerle fuerza bruta a un par de contrase�as, pero en si poder loguear todos los puertos que utilices para las tareas, pero eso no te va a servir de mucho, lo mejor es poner por ejemplo el servicio de correo smtp con validaci�n, y si aun no te sent�s seguro, podes mandarlo a puerto seguro, donde lo enviado viaja encriptado, si es por listas y mantenerte actualizados, unos gurus son los de securityfocus.com pero la verdad esa lista tiene demasiado trafico por tema, y es muy dif�cil llevarle el apunte al 30 % :P Pero tenes bug desde Mysql, Ssh, a Cisco
pero en si lo mejor es saber que corres en tu servidor, cerrar todos los puertos y mantener actualizado siempre las versiones de los demonios que corras, y si aun no estas tan seguro proba FreeBSD.
Saludos
H�ctor Jaskolowski escribi�:
G�enasssss!! Entre mate y mate surgi� esta conversa between Cristian y el sucrsipto. Pensamos que est� interesante para charlarlo con Uds. pa`ver si hay alguna idea que haya quedado fuera de nuestras mentes brillantes ;) El tema es que como coment� en mails anteriores, actualic� mi server con un RH9, y entraron a pasar cositas raras como que desde mi dominio le mandaban mails al de Cristian. Aqui les adjunto parte de la charla. Les pido por favor que la lean y nos den su opinion
hector
----- Original Message ----- From: "Cristian P. Biondi"
To: "H�ctor Jaskolowski"
Sent: Monday, July 19, 2004 9:27 PM
Subject: Re: Reject 550
H�ctor Jaskolowski wrote: | Y me puse a ver esos reportes y tambi�n descubr� que hay alguien que
esta
| queriendo romper las bolas con mi servidor. Descubr� cosas | como que quisieron logearse en mi samba, y tambien que quisieron usar mi | SMTP.... con esos emails que vos me detallabas y otros m�s. | Aqui te adjunto un extracto del LogWatch. Lo cierto es que no se si esto | reviste gravedad de alguna clase. Creo que mi servidor esta bastante bien a | nivel de seguridad, vos tenes idea qu� pruebas o test podr�a hacer para | confirmar que es asi? | Hay varias formas de encararlo. Una es saber quien quiere hacer, no es lo mismo un ruso aburrido que prueba que un vecino barilochense que sepa lo que quiere hacer.
Y despues tenes basicamente dos formas de actuar. Una es denunciarlo, Otra es reforzar la seguridad. Las dos estan al alcance de la mano.
Yo que haria: Primero, trataria de estar tranqui con el server y averiguaria quien joraca es, socialmente pensando quien pude ser o averiguando y con herramintas como http://www.dshield.org/ipinfo.php Pero estoy casi seguro que es alguien de por aca., porque no se que sentido tiene usar ese dominio.
Estaria bueno que esto que estamos charlando la hagamos en la lista
Te parece?
Mientras tanto anda contandome, Si tenes el firewall con politica x defecto -DROP . quedate casi tranquilo. Si tenes tu firewall con politica x defecto -ACCEPT, "cambialo urgente"
Voy a hacerte un par de escaneos de puertos a ver que me tira.
Te cuento que yo tengo un aleman que me esta rompiendo las bolas. Tambien el a�o pasado se me meti� un tailandes en la maquina super actualizada y que creia que era segura. Me armo muchas cagadas a tal punto que tuve que re instalarla. (me habia cambiado muchos binarios) ahi cambie el firewall de accept a drop.
Hacete un backup diario de tu server hasta que te quedes tranqui.
Saludos
- -- Cristian P. Biondi [EMAIL PROTECTED]
+---------------------------------------------------------------------+ |http://www.elciudadanobche.com.ar/claves/cristian | |Huella de clave = 47AD F2B4 F52F A8A9 78AE 49F5 9679 EE67 4049 012F | +---------------------------------------------------------------------+ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQFA/GbclnnuZ0BJAS8RAn3iAJ9V3lTLe4ocn//a9SAWwY3RRYJtxQCdHL+D BEquinanc36zN9KjC7lbDnE= =u4l4 -----END PGP SIGNATURE-----
_______________________________________________ Lista de Correo Lnx-brc [EMAIL PROTECTED] http://www.cenitec.com.ar/mailman/listinfo/lnx-brc Grupo de Ususarios de Linux Bariloche - GULBar - http://www.gulbar.homelinux.org
_______________________________________________ Lista de Correo Lnx-brc [EMAIL PROTECTED] http://www.cenitec.com.ar/mailman/listinfo/lnx-brc Grupo de Ususarios de Linux Bariloche - GULBar - http://www.gulbar.homelinux.org
