Re: [CentOS-es] Ataque por ssh2 del Resumen de CentOS-es, Vol 78, Envío 34
Gracias a todos por sus respuestas agrego un consejo es bueno probar los filtros del fail2bam con los logs, asi verán si funcionan correctamente, agregare que se puede banear con route add y se colocan las ip en rc.local, asi cuando reinicien el server siempre estaran baneadas esas ip, Saludos, 2013/6/19 Eduardo De Angeli edum...@hotmail.com Wilmer, Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL suerte. eduardo. Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterab...@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: ca+l8nsjpnvuhadibwo+ov2edv-dqdxu0124yad+zoj5bkqj...@mail.gmail.com Content-Type: text/plain; charset=ISO-8859-1 Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * -- ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2 del Resumen de CentOS-es, Vol 78, Envío 34
El 20 de junio de 2013 07:23, Wilmer Arambula tecnologiaterab...@gmail.comescribió: Gracias a todos por sus respuestas agrego un consejo es bueno probar los filtros del fail2bam con los logs, asi verán si funcionan correctamente, agregare que se puede banear con route add y se colocan las ip en rc.local, asi cuando reinicien el server siempre estaran baneadas esas ip, Saludos, 2013/6/19 Eduardo De Angeli edum...@hotmail.com Wilmer, Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL suerte. eduardo. Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterab...@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: ca+l8nsjpnvuhadibwo+ov2edv-dqdxu0124yad+zoj5bkqj...@mail.gmail.com Content-Type: text/plain; charset=ISO-8859-1 Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * -- ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Excelente retroalimentación. -- Carlos R!. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2 del Resumen de CentOS-es, Vol 78, Envío 34
Wilmer, Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL suerte. eduardo. Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterab...@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: ca+l8nsjpnvuhadibwo+ov2edv-dqdxu0124yad+zoj5bkqj...@mail.gmail.com Content-Type: text/plain; charset=ISO-8859-1 Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * -- ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
