Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Anexo Log del Ataque:
Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root
cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro..
2013/6/19 Wilmer Arambula tecnologiaterabyte@gmail.com
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Anexo Log del Ataque:
Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban
Saludos Cordiales
Luis Huacho Lazo
Enviado desde mi teléfono celular
2013/6/19 victor santana reparaciononline@gmail.com
cambiar también el puerto de conexión al ssh quitar el que está por defecto 22 por otro..
2013/6/19 Wilmer Arambula tecnologiaterabyte@gmail.com
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Anexo Log del Ataque:
Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
--
REPARACIONONLINE GARANTIA PARA SU PC
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
+ 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de fuerza bruta
El 19 de junio de 2013 09:51, Luis Huacho Lazol.huacho@gmail.com escribió:
Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a los intentos infructuosos, o fail2ban
Saludos Cordiales
Luis Huacho Lazo
Enviado desde mi teléfono celular
2013/6/19 victor santana reparaciononline@gmail.com
cambiar también el puerto de conexión al ssh quitar el que está por
defecto
22 por otro..
2013/6/19 Wilmer Arambula tecnologiaterabyte@gmail.com
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Anexo Log del Ataque:
Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from 109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24] failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from 109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
--
REPARACIONONLINE GARANTIA PARA SU PC
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El 19 de junio de 2013 08:54, Pablo Alberto Flores pabflore@uchile.clescribió:
- 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de
fuerza bruta
El 19 de junio de 2013 09:51, Luis Huacho Lazol.huacho@gmail.com escribió:
Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a
los
intentos infructuosos, o fail2ban
Saludos Cordiales
Luis Huacho Lazo
Enviado desde mi teléfono celular
2013/6/19 victor santana reparaciononline@gmail.com
cambiar también el puerto de conexión al ssh quitar el que está por
defecto
22 por otro..
2013/6/19 Wilmer Arambula tecnologiaterabyte@gmail.com
Ya he configurado mi ssh para que solo autentique desde mi ip, no
puede
loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Anexo Log del Ataque:
Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be
[109.130.202.24]
failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root
from
109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be
[109.130.202.24]
failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root
from
109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
--
REPARACIONONLINE GARANTIA PARA SU PC
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Complementa las sugerencias de los compañeros agregando las siguientes líneas al firewalls de tu centos:
-A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "Conexion sh: " -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
Luego reinicia el iptables para que apliquen los cambios
Puedes bajar aun mas los datos de segundos y conexiones (ya es a gusto del consumidor)
Fail2ban es la onda :)
Saludos/Regards -- Ing. Gerardo Barajas Puente
2013/6/19 Carlos Restrepo restrcarlos@gmail.com
El 19 de junio de 2013 08:54, Pablo Alberto Flores <pabflore@uchile.cl
escribió:
- 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de
fuerza bruta
El 19 de junio de 2013 09:51, Luis Huacho Lazol.huacho@gmail.com escribió:
Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a
los
intentos infructuosos, o fail2ban
Saludos Cordiales
Luis Huacho Lazo
Enviado desde mi teléfono celular
2013/6/19 victor santana reparaciononline@gmail.com
cambiar también el puerto de conexión al ssh quitar el que está por
defecto
22 por otro..
2013/6/19 Wilmer Arambula tecnologiaterabyte@gmail.com
Ya he configurado mi ssh para que solo autentique desde mi ip, no
puede
loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Anexo Log del Ataque:
Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be
[109.130.202.24]
failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from 109.130.202.24 port 50811 ssh2 Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many authentication failures for root Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many authentication failures for root Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root
from
109.130.202.24 port 50816 ssh2 Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be
[109.130.202.24]
failed - POSSIBLE BREAK-IN ATTEMPT! Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.130.202.24 user=root Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root
from
109.130.202.24 port 50865 ssh2 Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many authentication failures for root
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
--
REPARACIONONLINE GARANTIA PARA SU PC
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Complementa las sugerencias de los compañeros agregando las siguientes líneas al firewalls de tu centos:
-A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "Conexion sh: " -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
Luego reinicia el iptables para que apliquen los cambios
Puedes bajar aun mas los datos de segundos y conexiones (ya es a gusto del consumidor) -- Carlos R!. _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima de ataques para poder entrar a mi vps, igualmente por el webmin han intentado pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos.
Saludos,
Miguel
________________________________ De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a algunas MAC y con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso
1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a algunas MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no
puede
loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ...
Sent from my android device. One step ahead.
-----Original Message----- From: Walter Cervini wcervini@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonzalez@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso
1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a algunas MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no
puede
loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
una buena practica es configurar ssh (/etc/ssh/sshd_config)
LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas
El 19 de junio de 2013 14:36, domingov@linuxsc.net escribió:
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ...
Sent from my android device. One step ahead.
-----Original Message----- From: Walter Cervini wcervini@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonzalez@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso
- NO permitir el acceso a ssh como usuario root
- Hacer uso de Sudo para configurar a cada uno de los usuarios las
funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea temporalmente
(por
regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a algunas
MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no
puede
loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
A eso me refiero. ..
Sent from my android device. One step ahead.
-----Original Message----- From: Pablo Alberto Flores pabflore@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2.
una buena practica es configurar ssh (/etc/ssh/sshd_config)
LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas
El 19 de junio de 2013 14:36, domingov@linuxsc.net escribió:
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ...
Sent from my android device. One step ahead.
-----Original Message----- From: Walter Cervini wcervini@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonzalez@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso
- NO permitir el acceso a ssh como usuario root
- Hacer uso de Sudo para configurar a cada uno de los usuarios las
funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea temporalmente
(por
regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a algunas
MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no
puede
loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria bueno,
Anexo uno de los correos del Fail2Ban:
Hi,
The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW.
Here are more information about 187.44.1.153:
[Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br]
% Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00)
inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 created: 20090126 changed: 20130307
nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: admin@mastercabo.com.br created: 20080402 changed: 20121226
% Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to cert@cert.br % and mail-abuse@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN.
Regards,
Fail2Ban
Saludos,
El 19 de junio de 2013 14:34, domingov@linuxsc.net escribió:
A eso me refiero. ..
Sent from my android device. One step ahead.
-----Original Message----- From: Pablo Alberto Flores pabflore@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2.
una buena practica es configurar ssh (/etc/ssh/sshd_config)
LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas
El 19 de junio de 2013 14:36, domingov@linuxsc.net escribió:
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ...
Sent from my android device. One step ahead.
-----Original Message----- From: Walter Cervini wcervini@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonzalez@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso
- NO permitir el acceso a ssh como usuario root
- Hacer uso de Sudo para configurar a cada uno de los usuarios las
funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por
cada
bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger
tus
equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea temporalmente
(por
regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la
configuración
o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a algunas
MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no
puede
loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh
desde
algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica
Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
En México al CERT-UNAM: http://www.cert.org.mx/index.html
Saludos/Regards -- Ing. Gerardo Barajas Puente
2013/6/20 Wilmer Arambula tecnologiaterabyte@gmail.com
Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria bueno,
Anexo uno de los correos del Fail2Ban:
Hi,
The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW.
Here are more information about 187.44.1.153:
[Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br]
% Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00)
inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 created: 20090126 changed: 20130307
nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: admin@mastercabo.com.br created: 20080402 changed: 20121226
% Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to cert@cert.br % and mail-abuse@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN.
Regards,
Fail2Ban
Saludos,
El 19 de junio de 2013 14:34, domingov@linuxsc.net escribió:
A eso me refiero. ..
Sent from my android device. One step ahead.
-----Original Message----- From: Pablo Alberto Flores pabflore@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2.
una buena practica es configurar ssh (/etc/ssh/sshd_config)
LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas
El 19 de junio de 2013 14:36, domingov@linuxsc.net escribió:
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ...
Sent from my android device. One step ahead.
-----Original Message----- From: Walter Cervini wcervini@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonzalez@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso
- NO permitir el acceso a ssh como usuario root
- Hacer uso de Sudo para configurar a cada uno de los usuarios las
funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea
el
numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por
cada
bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de
cron
- La mas importante de todas las recomendaciones es que mantengas
un
monitoreo constante de tus equipos. Todo lo que hagas para proteger
tus
equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea temporalmente
(por
regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la
configuración
o puedes crear un baneo fail2ban (busca algun tutorial) que busca en
el
mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se
perderían
esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a
algunas
MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla,
pero
debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote: > Ya he configurado mi ssh para que solo autentique desde mi ip,
no
puede
> loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de > ataques para poder entrar a mi vps, igualmente por el webmin
han
intentado > pero la clave que tengo es compleja, que me recomiendadn, > > Saludos, > >
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh
desde
algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica
Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
Representante Para Venezuela.* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
ademas te podrias instalar un snort (IDS) para que veas mas ataques de diferentes puertos, escaneos, ejecucion de script, etc. eso si no es facil
El 20 de junio de 2013 12:36, Gerardo Barajasgerardo.barajas@gmail.comescribió:
En México al CERT-UNAM: http://www.cert.org.mx/index.html
Saludos/Regards
Ing. Gerardo Barajas Puente
2013/6/20 Wilmer Arambula tecnologiaterabyte@gmail.com
Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria
bueno,
Anexo uno de los correos del Fail2Ban:
Hi,
The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW.
Here are more information about 187.44.1.153:
[Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br]
% Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00)
inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 created: 20090126 changed: 20130307
nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: admin@mastercabo.com.br created: 20080402 changed: 20121226
% Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to cert@cert.br % and mail-abuse@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN.
Regards,
Fail2Ban
Saludos,
El 19 de junio de 2013 14:34, domingov@linuxsc.net escribió:
A eso me refiero. ..
Sent from my android device. One step ahead.
-----Original Message----- From: Pablo Alberto Flores pabflore@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2.
una buena practica es configurar ssh (/etc/ssh/sshd_config)
LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas
El 19 de junio de 2013 14:36, domingov@linuxsc.net escribió:
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ...
Sent from my android device. One step ahead.
-----Original Message----- From: Walter Cervini wcervini@gmail.com To: centos-es@centos.org, Miguel Gonzalez <
miguel_3_gonzalez@yahoo.es>
Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado
sus
conocimientos, yo agregaria algo adicional a todo eso
- NO permitir el acceso a ssh como usuario root
- Hacer uso de Sudo para configurar a cada uno de los usuarios
las
funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea
el
numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el
equipo
esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por
cada
bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de
cron
- La mas importante de todas las recomendaciones es que mantengas
un
monitoreo constante de tus equipos. Todo lo que hagas para
proteger
tus
equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea
temporalmente
(por
regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la
configuración
o puedes crear un baneo fail2ban (busca algun tutorial) que busca
en
el
mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se
perderían
esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a
algunas
MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla,
pero
debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón <diego@gridshield.net
escribió:
> On 6/19/13 7:31 AM, Wilmer Arambula wrote: > > Ya he configurado mi ssh para que solo autentique desde mi
ip,
no
puede
> > loguear root, sera necesario que lo deshabilite, ya que he
sido
victima
> de > > ataques para poder entrar a mi vps, igualmente por el webmin
han
> intentado > > pero la clave que tengo es compleja, que me recomiendadn, > > > > Saludos, > > > > > > Hace algunos años escribi este post, le puede servir. > >
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
> > Adicionalmente, agregaría un buen firewall que solo permita ssh
desde
> algunas ip, y solo autenticar con llave no con contraseña. > > Saludos, > > -- > Diego Chacón Rojas > Teléfono: +506 2258.5757 > E-mail: diego@gridshield.net > Gridshield: I.T. Service Management > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es >
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica
Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
Representante Para Venezuela.* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Buenas noches Wilmer, Te cuento mi experiencia (Ar), hace un par de meses uno de mis clientes estuvo con varios ataques de IP rusas y chinas y alguna de forma local como ser rangos de IP de Telmex. El tema es que tiene un host en EEUU muy bueno, pero el tráfico que generaba era muy alto. Entonces empece a ver de donde venía ese tráfico y como se comportaba. Para resumir las IP rusas y chinas usaban IP de EEUU para generar ataques de DDos a sitios locales y algunos en españa y colombia. En el caso local en argentina, me contacte via correo y telefónicamente hablando con el administrador y explicándole lo que pasaba, de esta forma pudimos trabajar en conjunto neutralizando el tráfico y proteger a los clientes.- Mi consejo es que te comuniques vía mail al administrador del Rango de IP para explicarle lo que esta pasando, quizas ellos no tengan idea de que sus IP están usadas para realizar diferentes tipo de ataques, ( DDos)
Sin más, Espero que te haya ayudado, Saluda Atte.,
El 20 de junio de 2013 13:23, Wilmer Arambula tecnologiaterabyte@gmail.comescribió:
Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria bueno,
Anexo uno de los correos del Fail2Ban:
Hi,
The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW.
Here are more information about 187.44.1.153:
[Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br]
% Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00)
inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 created: 20090126 changed: 20130307
nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: admin@mastercabo.com.br created: 20080402 changed: 20121226
% Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to cert@cert.br % and mail-abuse@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN.
Regards,
Fail2Ban
Saludos,
El 19 de junio de 2013 14:34, domingov@linuxsc.net escribió:
A eso me refiero. ..
Sent from my android device. One step ahead.
-----Original Message----- From: Pablo Alberto Flores pabflore@uchile.cl To: centos-es@centos.org Sent: mié, 19 jun 2013 13:55 Subject: Re: [CentOS-es] Ataque por ssh2.
una buena practica es configurar ssh (/etc/ssh/sshd_config)
LoginGraceTime 30 PermitRootLogin no MaxAuthTries 3 AllowUsers tu_usuario otro_usuario otro_mas
El 19 de junio de 2013 14:36, domingov@linuxsc.net escribió:
Configurar el ssh que solo usuarios autorizados puedan hacer uso del mismo... tipo acl ...
Sent from my android device. One step ahead.
-----Original Message----- From: Walter Cervini wcervini@gmail.com To: centos-es@centos.org, Miguel Gonzalez miguel_3_gonzalez@yahoo.es Sent: mié, 19 jun 2013 13:28 Subject: Re: [CentOS-es] Ataque por ssh2.
Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso
- NO permitir el acceso a ssh como usuario root
- Hacer uso de Sudo para configurar a cada uno de los usuarios las
funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea
el
numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por
cada
bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de
cron
- La mas importante de todas las recomendaciones es que mantengas
un
monitoreo constante de tus equipos. Todo lo que hagas para proteger
tus
equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea temporalmente
(por
regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la
configuración
o puedes crear un baneo fail2ban (busca algun tutorial) que busca en
el
mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se
perderían
esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a
algunas
MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla,
pero
debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote: > Ya he configurado mi ssh para que solo autentique desde mi ip,
no
puede
> loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de > ataques para poder entrar a mi vps, igualmente por el webmin
han
intentado > pero la clave que tengo es compleja, que me recomiendadn, > > Saludos, > >
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh
desde
algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica
Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
Representante Para Venezuela.* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
muy bueno!
El 19 de junio de 2013 12:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no puede loguear root, sera necesario que lo deshabilite, ya que he sido victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
Carlos Restrepo -
Diego Chacón -
domingov@linuxsc.net -
Elio Bastias, Project Managers -
Gerardo Barajas -
Héctor Herrera -
Luis Huacho Lazo -
Miguel Gonzalez -
Pablo Alberto Flores -
victor santana -
Walter Cervini -
Wilmer Arambula