Una breve cosilla yo en los SSH tengo esto:
Port 452 #Puede ser cualquiera 542, 342, 922, etc... Imaginación ListenAddress 192.168.1.1 #Esto me asegura que solo escuche por la interface de la red
Protocol 2
PermitRootLogin no #MUY IMPORTANTE... ROOT NUNCA DEBE HACER SSH #StrictModes yes #MaxAuthTries 6 # Con esto se puede jugar #MaxSessions 10 # igual que con este AllowUsers fulano mengano esperansejo siclanejo # supongamos que siclanejo sea el webmaster # El tienen /sbin/nologin, sin embargo lo enjaule para entrar en su home Subsystem sftp internal-sftp Match User siclanejo X11Forwarding no ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no
Este ultimo bloque lo obligará a caer en su home /var/www/siclanejo
Es muy importante no dejar las configuraciones de fabrica.
Y solo publicar servicios que realmente sean, despues con IPTABLES yo hice iptables -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 452 -j ACCEPT iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j REJECT iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 452 -j REJECT
Ahora si necesitas abrir el 22 o el 452 para afuera asegúrate que cambiar tu cable RSA cada cierto tiempo.
Saludos, David
P.D: Bienvenido al club de admin hackeados... jejejeje
El 30 de diciembre de 2013, 9:22, Maxi maximiliano.duarte@gmail.comescribió:
El 29 de diciembre de 2013, 19:01, kamal majaiti kamal.majaiti@gmail.comescribió:
Mira los logs del servidor web buscando los post. plantearte pasar un escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa
las
escuchas de los puertos usa chrootkit y rkhunter así como grep en www buscando base64 y cosas así. Primero localiza por donde entraron y hasta donde llegaron y que hicieron. El 29/12/2013 19:13, "Miguel González" miguel_3_gonzalez@yahoo.es escribió:
On 12/29/2013 6:24 PM, Gabriel Pinares wrote:
Muchas gracias.
NINGÚN usuario tiene habilitado acceso SHELL, (solo el root) yo no he instalado PHP SHELL la opción "JAIL SHELL" también la tengo inhabilitada
Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes instalado para instalarlo.
This email is free from viruses and malware because avast! Antivirus protection is active. http://www.avast.com
This message and any attachments are intended for the use of the
addressee
or addressees only. The unauthorised disclosure, use, dissemination or copying (either in whole or in part) of its content is not permitted.
If
you received this message in error, please notify the sender and delete
it
from your system. Emails can be altered and their integrity cannot be guaranteed by the sender.
Please consider the environment before printing this email.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
configura ssh para que no ingrese como root y solo el usuario determinado pueda ingresar (despues haces su - y te pasas a root). y con denyhost le pones limite al intengo de averiguar claves, y bloquea la ip por los dias que quieras. A mi me sucedio que entraban y le cambiaban los passw a los usuarios de correo electronico. Y obliga a los usuarios a usar claves fuertes
-- El que pregunta aprende, y el que contesta aprende a responder.
No a la obsolecencia programada:
http://www.rtve.es/noticias/20110104/productos-consumo-duran-cada-vez-menos/...
Linux User #495070 http://domonetic.com/blog _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es