Buenas noches Wilmer, Te cuento mi experiencia (Ar), hace un par de meses uno de mis clientes estuvo con varios ataques de IP rusas y chinas y alguna de forma local como ser rangos de IP de Telmex. El tema es que tiene un host en EEUU muy bueno, pero el tráfico que generaba era muy alto. Entonces empece a ver de donde venía ese tráfico y como se comportaba. Para resumir las IP rusas y chinas usaban IP de EEUU para generar ataques de DDos a sitios locales y algunos en españa y colombia. En el caso local en argentina, me contacte via correo y telefónicamente hablando con el administrador y explicándole lo que pasaba, de esta forma pudimos trabajar en conjunto neutralizando el tráfico y proteger a los clientes.- Mi consejo es que te comuniques vía mail al administrador del Rango de IP para explicarle lo que esta pasando, quizas ellos no tengan idea de que sus IP están usadas para realizar diferentes tipo de ataques, ( DDos)
Sin más, Espero que te haya ayudado, Saluda Atte.,
El 20 de junio de 2013 13:23, Wilmer Arambula tecnologiaterabyte@gmail.comescribió:
Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria bueno,
Anexo uno de los correos del Fail2Ban:
Hi,
The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW.
Here are more information about 187.44.1.153:
[Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br]
% Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00)
inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 created: 20090126 changed: 20130307
nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: admin@mastercabo.com.br created: 20080402 changed: 20121226
% Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to cert@cert.br % and mail-abuse@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN.
Regards,
Fail2Ban
Saludos,
El 19 de junio de 2013 14:34, domingov@linuxsc.net escribió:
A eso me refiero. ..
Sent from my android device. One step ahead.
-----Original Message----- From: Pablo Alberto Flores pabflore@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2.
una buena practica es configurar ssh (/etc/ssh/sshd_config)
LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas
El 19 de junio de 2013 14:36, domingov@linuxsc.net escribió:
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ...
Sent from my android device. One step ahead.
-----Original Message----- From: Walter Cervini wcervini@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonzalez@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso
- NO permitir el acceso a ssh como usuario root
- Hacer uso de Sudo para configurar a cada uno de los usuarios las
funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea
el
numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por
cada
bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de
cron
- La mas importante de todas las recomendaciones es que mantengas
un
monitoreo constante de tus equipos. Todo lo que hagas para proteger
tus
equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea temporalmente
(por
regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la
configuración
o puedes crear un baneo fail2ban (busca algun tutorial) que busca en
el
mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se
perderían
esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a
algunas
MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla,
pero
debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote: > Ya he configurado mi ssh para que solo autentique desde mi ip,
no
puede
> loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de > ataques para poder entrar a mi vps, igualmente por el webmin
han
intentado > pero la clave que tengo es compleja, que me recomiendadn, > > Saludos, > >
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh
desde
algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica
Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
Representante Para Venezuela.* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es