[CentOS-es] Ataque por ssh2.
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban Saludos Cordiales Luis Huacho Lazo Enviado desde mi teléfono celular 2013/6/19 victor santana reparaciononl...@gmail.com cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
+ 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de fuerza bruta El 19 de junio de 2013 09:51, Luis Huacho Lazol.hua...@gmail.com escribió: Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban Saludos Cordiales Luis Huacho Lazo Enviado desde mi teléfono celular 2013/6/19 victor santana reparaciononl...@gmail.com cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
El 19 de junio de 2013 08:54, Pablo Alberto Flores pabfl...@uchile.clescribió: + 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de fuerza bruta El 19 de junio de 2013 09:51, Luis Huacho Lazol.hua...@gmail.com escribió: Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban Saludos Cordiales Luis Huacho Lazo Enviado desde mi teléfono celular 2013/6/19 victor santana reparaciononl...@gmail.com cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Complementa las sugerencias de los compañeros agregando las siguientes líneas al firewalls de tu centos: -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix Conexion sh: -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT Luego reinicia el iptables para que apliquen los cambios Puedes bajar aun mas los datos de segundos y conexiones (ya es a gusto del consumidor) -- Carlos R!. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Fail2ban es la onda :) Saludos/Regards -- Ing. Gerardo Barajas Puente 2013/6/19 Carlos Restrepo restrcar...@gmail.com El 19 de junio de 2013 08:54, Pablo Alberto Flores pabfl...@uchile.cl escribió: + 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de fuerza bruta El 19 de junio de 2013 09:51, Luis Huacho Lazol.hua...@gmail.com escribió: Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban Saludos Cordiales Luis Huacho Lazo Enviado desde mi teléfono celular 2013/6/19 victor santana reparaciononl...@gmail.com cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Complementa las sugerencias de los compañeros agregando las siguientes líneas al firewalls de tu centos: -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix Conexion sh: -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT Luego reinicia el iptables para que apliquen los cambios Puedes bajar aun mas los datos de segundos y conexiones (ya es a gusto del consumidor) -- Carlos R!. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2 del Resumen de CentOS-es, Vol 78, Envío 34
Wilmer, Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL suerte. eduardo. Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterab...@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: ca+l8nsjpnvuhadibwo+ov2edv-dqdxu0124yad+zoj5bkqj...@mail.gmail.com Content-Type: text/plain; charset=ISO-8859-1 Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * -- ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
una buena practica es configurar ssh (/etc/ssh/sshd_config) LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas El 19 de junio de 2013 14:36, domin...@linuxsc.net escribió: Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___
Re: [CentOS-es] Ataque por ssh2.
A eso me refiero. .. Sent from my android device. One step ahead. -Original Message- From: Pablo Alberto Flores pabfl...@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2. una buena practica es configurar ssh (/etc/ssh/sshd_config) LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas El 19 de junio de 2013 14:36, domin...@linuxsc.net escribió: Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org