Estimados: Para mi la mejor manera de solucionar esto es ponerse paranoico y generar "una clave de scaneo de apertura de puerto" el ejemplo seria el siguiente consutar el puerto 34 luego el puerto 70 , luego el puerto 72 y leugo puerto 73 , con esta secuencia de escaneo se abriria el puerto 22 por 5 segundos y luego se cierra. (bloqueando conexiones Nuevas, y solo dejar pasar conexiones establecidas).
/sbin/iptables -N INTO-PHASE2 /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set /sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix "INTO PHASE2: "
/sbin/iptables -N INTO-PHASE3 /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set /sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix "INTO PHASE3: "
/sbin/iptables -N INTO-PHASE4 /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set /sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix "INTO PHASE4: "
/sbin/iptables -A INPUT -m recent --update --name PHASE1
/sbin/iptables -A INPUT -p tcp --dport 34 -m recent --set --name PHASE1 /sbin/iptables -A INPUT -p tcp --dport 70 -m recent --rcheck --name PHASE1 -j INTO-PHASE2 /sbin/iptables -A INPUT -p tcp --dport 72 -m recent --rcheck --name PHASE2 -j INTO-PHASE3 /sbin/iptables -A INPUT -p tcp --dport 73 -m recent --rcheck --name PHASE3 -j INTO-PHASE4
iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name PHASE4 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP
2011/10/13 Yoinier Hernandez Nieves ynieves@lt.datazucar.cu
El 13/10/11 10:21, Jesús Rivas escribió:
Creo que cambiando el puerto ssh no es una solucion, pues te dan un port scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, pues no tengo problemas en cambiar el puerto.
Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como limitar el numero de intentos y el tiempo para logearse.
Creo que no puedo moverle para que solo unas ip entren al servidor por ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se puede agradeceria la aportacion.
El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió:
cambia el puerto de ssh
César D. Cruz Arrunátegui
----- Mensaje original ----- De: "Jesús Rivas"jesus@evangelizacion.org.mx Para: centos-es@centos.org Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia Asunto: [CentOS-es] Intento de Hackeo
Hola gente, tenemos un servidor con centos 5 y en el log secure veo intentos de acceso por ssh muy seguramente un script (checando la IP google dice que es alguien de beijing).
Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip cambio y siguio cambiando, entonces no veo el caso de estar agregando las ip al hosts.deny
Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es una buena practica de seguridad, asi como tambien limitar el numero de intentos el tiempo para poner la contraseña y ahi de ratos veo en el log intentos de acceso por ahi, pero pues por ahi ya no podra entrar.
¿Alguna otra recomendacio que me puedan dar para evitar esto? _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
cuando te refieres a IP dinamicas, tu ISP no te da cualquier IP, sino algun IP de los bloques que le fueron asignados, lo que puedes hacer es averiguar los rangos IP de tu proveedor, y solo permites esos IP, con eso limitas bastante las IP que puedan acceder a tu SSH.
Yo.
Yoinier Hernández Nieves. Administrador de Redes. División ZETI Nodo Provincial Datazucar Las Tunas.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es