Re: [CentOS-es] Ataque por ssh2.
muy bueno! El 19 de junio de 2013 12:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- -- Elio Bastias Project Manager EM-CIT |Open Source Innovation | Open Source Communications Estrategia y Management en Comunicaciones e Infraestructurade IT AMBIENTE.- ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Buenas noches Wilmer, Te cuento mi experiencia (Ar), hace un par de meses uno de mis clientes estuvo con varios ataques de IP rusas y chinas y alguna de forma local como ser rangos de IP de Telmex. El tema es que tiene un host en EEUU muy bueno, pero el tráfico que generaba era muy alto. Entonces empece a ver de donde venía ese tráfico y como se comportaba. Para resumir las IP rusas y chinas usaban IP de EEUU para generar ataques de DDos a sitios locales y algunos en españa y colombia. En el caso local en argentina, me contacte via correo y telefónicamente hablando con el administrador y explicándole lo que pasaba, de esta forma pudimos trabajar en conjunto neutralizando el tráfico y proteger a los clientes.- Mi consejo es que te comuniques vía mail al administrador del Rango de IP para explicarle lo que esta pasando, quizas ellos no tengan idea de que sus IP están usadas para realizar diferentes tipo de ataques, ( DDos) Sin más, Espero que te haya ayudado, Saluda Atte., El 20 de junio de 2013 13:23, Wilmer Arambula tecnologiaterab...@gmail.comescribió: Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria bueno, Anexo uno de los correos del Fail2Ban: Hi, The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW. Here are more information about 187.44.1.153: [Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br] % Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00) inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa:20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa:20130619 created: 20090126 changed: 20130307 nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: ad...@mastercabo.com.br created: 20080402 changed: 20121226 % Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to c...@cert.br % and mail-ab...@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN. Regards, Fail2Ban Saludos, El 19 de junio de 2013 14:34, domin...@linuxsc.net escribió: A eso me refiero. .. Sent from my android device. One step ahead. -Original Message- From: Pablo Alberto Flores pabfl...@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2. una buena practica es configurar ssh (/etc/ssh/sshd_config) LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas El 19 de junio de 2013 14:36, domin...@linuxsc.net escribió: Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA
Re: [CentOS-es] Ataque por ssh2 del Resumen de CentOS-es, Vol 78, Envío 34
Gracias a todos por sus respuestas agrego un consejo es bueno probar los filtros del fail2bam con los logs, asi verán si funcionan correctamente, agregare que se puede banear con route add y se colocan las ip en rc.local, asi cuando reinicien el server siempre estaran baneadas esas ip, Saludos, 2013/6/19 Eduardo De Angeli edum...@hotmail.com Wilmer, Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL suerte. eduardo. Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterab...@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: ca+l8nsjpnvuhadibwo+ov2edv-dqdxu0124yad+zoj5bkqj...@mail.gmail.com Content-Type: text/plain; charset=ISO-8859-1 Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * -- ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2 del Resumen de CentOS-es, Vol 78, Envío 34
El 20 de junio de 2013 07:23, Wilmer Arambula tecnologiaterab...@gmail.comescribió: Gracias a todos por sus respuestas agrego un consejo es bueno probar los filtros del fail2bam con los logs, asi verán si funcionan correctamente, agregare que se puede banear con route add y se colocan las ip en rc.local, asi cuando reinicien el server siempre estaran baneadas esas ip, Saludos, 2013/6/19 Eduardo De Angeli edum...@hotmail.com Wilmer, Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL suerte. eduardo. Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterab...@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: ca+l8nsjpnvuhadibwo+ov2edv-dqdxu0124yad+zoj5bkqj...@mail.gmail.com Content-Type: text/plain; charset=ISO-8859-1 Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * -- ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Excelente retroalimentación. -- Carlos R!. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria bueno, Anexo uno de los correos del Fail2Ban: Hi, The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW. Here are more information about 187.44.1.153: [Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br] % Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00) inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa:20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa:20130619 created: 20090126 changed: 20130307 nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: ad...@mastercabo.com.br created: 20080402 changed: 20121226 % Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to c...@cert.br % and mail-ab...@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN. Regards, Fail2Ban Saludos, El 19 de junio de 2013 14:34, domin...@linuxsc.net escribió: A eso me refiero. .. Sent from my android device. One step ahead. -Original Message- From: Pablo Alberto Flores pabfl...@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2. una buena practica es configurar ssh (/etc/ssh/sshd_config) LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas El 19 de junio de 2013 14:36, domin...@linuxsc.net escribió: Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor
Re: [CentOS-es] Ataque por ssh2.
En México al CERT-UNAM: http://www.cert.org.mx/index.html Saludos/Regards -- Ing. Gerardo Barajas Puente 2013/6/20 Wilmer Arambula tecnologiaterab...@gmail.com Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria bueno, Anexo uno de los correos del Fail2Ban: Hi, The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW. Here are more information about 187.44.1.153: [Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br] % Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00) inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa:20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa:20130619 created: 20090126 changed: 20130307 nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: ad...@mastercabo.com.br created: 20080402 changed: 20121226 % Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to c...@cert.br % and mail-ab...@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN. Regards, Fail2Ban Saludos, El 19 de junio de 2013 14:34, domin...@linuxsc.net escribió: A eso me refiero. .. Sent from my android device. One step ahead. -Original Message- From: Pablo Alberto Flores pabfl...@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2. una buena practica es configurar ssh (/etc/ssh/sshd_config) LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas El 19 de junio de 2013 14:36, domin...@linuxsc.net escribió: Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel
Re: [CentOS-es] Ataque por ssh2.
ademas te podrias instalar un snort (IDS) para que veas mas ataques de diferentes puertos, escaneos, ejecucion de script, etc. eso si no es facil El 20 de junio de 2013 12:36, Gerardo Barajasgerardo.bara...@gmail.comescribió: En México al CERT-UNAM: http://www.cert.org.mx/index.html Saludos/Regards -- Ing. Gerardo Barajas Puente 2013/6/20 Wilmer Arambula tecnologiaterab...@gmail.com Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria bueno, Anexo uno de los correos del Fail2Ban: Hi, The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW. Here are more information about 187.44.1.153: [Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br] % Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00) inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa:20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa:20130619 created: 20090126 changed: 20130307 nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: ad...@mastercabo.com.br created: 20080402 changed: 20121226 % Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to c...@cert.br % and mail-ab...@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN. Regards, Fail2Ban Saludos, El 19 de junio de 2013 14:34, domin...@linuxsc.net escribió: A eso me refiero. .. Sent from my android device. One step ahead. -Original Message- From: Pablo Alberto Flores pabfl...@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2. una buena practica es configurar ssh (/etc/ssh/sshd_config) LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas El 19 de junio de 2013 14:36, domin...@linuxsc.net escribió: Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes
[CentOS-es] Ataque por ssh2.
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban Saludos Cordiales Luis Huacho Lazo Enviado desde mi teléfono celular 2013/6/19 victor santana reparaciononl...@gmail.com cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
+ 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de fuerza bruta El 19 de junio de 2013 09:51, Luis Huacho Lazol.hua...@gmail.com escribió: Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban Saludos Cordiales Luis Huacho Lazo Enviado desde mi teléfono celular 2013/6/19 victor santana reparaciononl...@gmail.com cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
El 19 de junio de 2013 08:54, Pablo Alberto Flores pabfl...@uchile.clescribió: + 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de fuerza bruta El 19 de junio de 2013 09:51, Luis Huacho Lazol.hua...@gmail.com escribió: Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban Saludos Cordiales Luis Huacho Lazo Enviado desde mi teléfono celular 2013/6/19 victor santana reparaciononl...@gmail.com cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Complementa las sugerencias de los compañeros agregando las siguientes líneas al firewalls de tu centos: -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix Conexion sh: -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT Luego reinicia el iptables para que apliquen los cambios Puedes bajar aun mas los datos de segundos y conexiones (ya es a gusto del consumidor) -- Carlos R!. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Fail2ban es la onda :) Saludos/Regards -- Ing. Gerardo Barajas Puente 2013/6/19 Carlos Restrepo restrcar...@gmail.com El 19 de junio de 2013 08:54, Pablo Alberto Flores pabfl...@uchile.cl escribió: + 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de fuerza bruta El 19 de junio de 2013 09:51, Luis Huacho Lazol.hua...@gmail.com escribió: Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban Saludos Cordiales Luis Huacho Lazo Enviado desde mi teléfono celular 2013/6/19 victor santana reparaciononl...@gmail.com cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro.. 2013/6/19 Wilmer Arambula tecnologiaterab...@gmail.com Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- ___ REPARACIONONLINE GARANTIA PARA SU PC ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Complementa las sugerencias de los compañeros agregando las siguientes líneas al firewalls de tu centos: -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix Conexion sh: -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT Luego reinicia el iptables para que apliquen los cambios Puedes bajar aun mas los datos de segundos y conexiones (ya es a gusto del consumidor) -- Carlos R!. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2 del Resumen de CentOS-es, Vol 78, Envío 34
Wilmer, Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL suerte. eduardo. Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterab...@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: ca+l8nsjpnvuhadibwo+ov2edv-dqdxu0124yad+zoj5bkqj...@mail.gmail.com Content-Type: text/plain; charset=ISO-8859-1 Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Anexo Log del Ataque: Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. * -- ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
una buena practica es configurar ssh (/etc/ssh/sshd_config) LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas El 19 de junio de 2013 14:36, domin...@linuxsc.net escribió: Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Ataque por ssh2.
A eso me refiero. .. Sent from my android device. One step ahead. -Original Message- From: Pablo Alberto Flores pabfl...@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2. una buena practica es configurar ssh (/etc/ssh/sshd_config) LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas El 19 de junio de 2013 14:36, domin...@linuxsc.net escribió: Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ... Sent from my android device. One step ahead. -Original Message- From: Walter Cervini wcerv...@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonza...@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2. Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso 1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente. *Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcerv...@gmail.com cervi...@yahoo.com waltercerv...@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonza...@yahoo.esescribió: Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente). Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente. Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos. Saludos, Miguel De: Wilmer Arambula tecnologiaterab...@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2. Listo instale file2bam con los servicios que estoy usando, Saludos y gracias. El 19 de junio de 2013 10:57, Héctor Herrera hherre...@gmail.com escribió: También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT (Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así) El 19 de junio de 2013 11:21, Diego Chacón di...@gridshield.net escribió: On 6/19/13 7:31 AM, Wilmer Arambula wrote: Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn, Saludos, Hace algunos años escribi este post, le puede servir. http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña. Saludos, -- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: di...@gridshield.net Gridshield: I.T. Service Management ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * * ___ CentOS-es mailing list CentOS-es@centos.org http
