[CentOS-es] Intento de Hackeo
Ernesto Pérez Estévez
centos en nuestroserver.com
Jue Oct 13 12:49:53 EDT 2011
El jue, 13-10-2011 a las 12:28 -0300, juan sabino escribió:
> Estimados:
> Para mi la mejor manera de solucionar esto es ponerse paranoico y generar
> "una clave de scaneo de apertura de puerto"
> el ejemplo seria el siguiente consutar el puerto 34 luego el puerto 70 ,
> luego el puerto 72 y leugo puerto 73 , con esta secuencia
> de escaneo se abriria el puerto 22 por 5 segundos y luego se cierra.
> (bloqueando conexiones Nuevas, y solo dejar pasar conexiones establecidas).
>
port knocking, buenísimo. Hay un paquete llamado knockd si mal no
recuerdo.
saludos
epe
> /sbin/iptables -N INTO-PHASE2
> /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove
> /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set
> /sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix "INTO PHASE2: "
>
> /sbin/iptables -N INTO-PHASE3
> /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove
> /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set
> /sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix "INTO PHASE3: "
>
> /sbin/iptables -N INTO-PHASE4
> /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove
> /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set
> /sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix "INTO PHASE4: "
>
> /sbin/iptables -A INPUT -m recent --update --name PHASE1
>
> /sbin/iptables -A INPUT -p tcp --dport 34 -m recent --set --name PHASE1
> /sbin/iptables -A INPUT -p tcp --dport 70 -m recent --rcheck --name PHASE1
> -j INTO-PHASE2
> /sbin/iptables -A INPUT -p tcp --dport 72 -m recent --rcheck --name PHASE2
> -j INTO-PHASE3
> /sbin/iptables -A INPUT -p tcp --dport 73 -m recent --rcheck --name PHASE3
> -j INTO-PHASE4
>
> iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name
> PHASE4 -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP
>
>
> 2011/10/13 Yoinier Hernandez Nieves <ynieves en lt.datazucar.cu>
>
> > El 13/10/11 10:21, Jesús Rivas escribió:
> > > Creo que cambiando el puerto ssh no es una solucion, pues te dan un port
> > > scan y dan con los puertos abiertos y empiezan el ataque, si no es asi,
> > > pues no tengo problemas en cambiar el puerto.
> > >
> > > Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como
> > > limitar el numero de intentos y el tiempo para logearse.
> > >
> > > Creo que no puedo moverle para que solo unas ip entren al servidor por
> > > ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se
> > > puede agradeceria la aportacion.
> > >
> > >
> > > El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió:
> > >> cambia el puerto de ssh
> > >>
> > >> César D. Cruz Arrunátegui
> > >>
> > >>
> > >> ----- Mensaje original -----
> > >> De: "Jesús Rivas"<jesus en evangelizacion.org.mx>
> > >> Para: centos-es en centos.org
> > >> Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia
> > >> Asunto: [CentOS-es] Intento de Hackeo
> > >>
> > >> Hola gente, tenemos un servidor con centos 5 y en el log secure veo
> > >> intentos de acceso por ssh muy seguramente un script (checando la IP
> > >> google dice que es alguien de beijing).
> > >>
> > >> Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip
> > >> cambio y siguio cambiando, entonces no veo el caso de estar agregando
> > >> las ip al hosts.deny
> > >>
> > >> Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es
> > >> una buena practica de seguridad, asi como tambien limitar el numero de
> > >> intentos el tiempo para poner la contraseña y ahi de ratos veo en el log
> > >> intentos de acceso por ahi, pero pues por ahi ya no podra entrar.
> > >>
> > >> ¿Alguna otra recomendacio que me puedan dar para evitar esto?
> > >> _______________________________________________
> > >> CentOS-es mailing list
> > >> CentOS-es en centos.org
> > >> http://lists.centos.org/mailman/listinfo/centos-es
> > >>
> > >>
> > >
> >
> > cuando te refieres a IP dinamicas, tu ISP no te da cualquier IP, sino
> > algun IP de los bloques que le fueron asignados, lo que puedes hacer es
> > averiguar los rangos IP de tu proveedor, y solo permites esos IP, con
> > eso limitas bastante las IP que puedan acceder a tu SSH.
> >
> > Yo.
> > --
> > Yoinier Hernández Nieves.
> > Administrador de Redes.
> > División ZETI
> > Nodo Provincial Datazucar Las Tunas.
> >
> >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
Más información sobre la lista de distribución CentOS-es