Wilmer,
Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL
suerte. eduardo.
Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterabyte@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: CA+L8nSjPnVuhAdibWo+Ov2eDV-DQdxU0124YAd+ZOJ5BkqjJRA@mail.gmail.com Content-Type: text/plain; charset=ISO-8859-1
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Anexo Log del Ataque:
Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
Gracias a todos por sus respuestas agrego un consejo es bueno probar los filtros del fail2bam con los logs, asi verán si funcionan correctamente, agregare que se puede banear con route add y se colocan las ip en rc.local, asi cuando reinicien el server siempre estaran baneadas esas ip,
Saludos,
2013/6/19 Eduardo De Angeli edumanx@hotmail.com
Wilmer,
Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL
suerte. eduardo.
Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterabyte@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: <
CA+L8nSjPnVuhAdibWo+Ov2eDV-DQdxU0124YAd+ZOJ5BkqjJRA@mail.gmail.com>
Content-Type: text/plain; charset=ISO-8859-1
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Anexo Log del Ataque:
Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El 20 de junio de 2013 07:23, Wilmer Arambula tecnologiaterabyte@gmail.comescribió:
Gracias a todos por sus respuestas agrego un consejo es bueno probar los filtros del fail2bam con los logs, asi verán si funcionan correctamente, agregare que se puede banear con route add y se colocan las ip en rc.local, asi cuando reinicien el server siempre estaran baneadas esas ip,
Saludos,
2013/6/19 Eduardo De Angeli edumanx@hotmail.com
Wilmer,
Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's permitidas para accederlo, junto con el /etc/hosts.deny En /etc/hosts.allow sshd: 10.10.10.10,10.10.10.184 Y en /etc/hosts.deny ALL: ALL
suerte. eduardo.
Message: 1 Date: Wed, 19 Jun 2013 09:01:16 -0430 From: Wilmer Arambula tecnologiaterabyte@gmail.com Subject: [CentOS-es] Ataque por ssh2. To: centos-es@centos.org Message-ID: <
CA+L8nSjPnVuhAdibWo+Ov2eDV-DQdxU0124YAd+ZOJ5BkqjJRA@mail.gmail.com>
Content-Type: text/plain; charset=ISO-8859-1
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Anexo Log del Ataque:
Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Excelente retroalimentación.
-
Carlos Restrepo -
Eduardo De Angeli -
Wilmer Arambula