[CentOS-es] Intento de Hackeo

juan sabino jpsabin en gmail.com
Jue Oct 13 11:28:00 EDT 2011 

Estimados:
  Para mi la mejor manera de solucionar esto es ponerse paranoico y generar
"una clave de scaneo de apertura de puerto"
  el ejemplo seria el siguiente consutar el puerto 34  luego el puerto 70 ,
luego el puerto 72 y  leugo puerto 73 , con esta secuencia
  de escaneo se abriria el puerto 22 por 5 segundos y luego se cierra.
(bloqueando conexiones Nuevas, y solo dejar pasar conexiones establecidas).

/sbin/iptables -N INTO-PHASE2
/sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove
/sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set
/sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix "INTO PHASE2: "

/sbin/iptables -N INTO-PHASE3
/sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove
/sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set
/sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix "INTO PHASE3: "

/sbin/iptables -N INTO-PHASE4
/sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove
/sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set
/sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix "INTO PHASE4: "

/sbin/iptables -A INPUT -m recent --update --name PHASE1

/sbin/iptables -A INPUT -p tcp --dport 34 -m recent --set --name PHASE1
/sbin/iptables -A INPUT -p tcp --dport 70 -m recent --rcheck --name PHASE1
-j INTO-PHASE2
/sbin/iptables -A INPUT -p tcp --dport 72 -m recent --rcheck --name PHASE2
-j INTO-PHASE3
/sbin/iptables -A INPUT -p tcp --dport 73 -m recent --rcheck --name PHASE3
-j INTO-PHASE4

iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name
PHASE4 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP


2011/10/13 Yoinier Hernandez Nieves <ynieves en lt.datazucar.cu>

> El 13/10/11 10:21, Jesús Rivas escribió:
> > Creo que cambiando el puerto ssh no es una solucion, pues te dan un port
> > scan y dan con los puertos abiertos y empiezan el ataque, si no es asi,
> > pues no tengo problemas en cambiar el puerto.
> >
> > Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como
> > limitar el numero de intentos y el tiempo para logearse.
> >
> > Creo que no puedo moverle para que solo unas ip entren al servidor por
> > ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se
> > puede agradeceria la aportacion.
> >
> >
> > El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió:
> >> cambia el puerto de ssh
> >>
> >> César D. Cruz Arrunátegui
> >>
> >>
> >> ----- Mensaje original -----
> >> De: "Jesús Rivas"<jesus en evangelizacion.org.mx>
> >> Para: centos-es en centos.org
> >> Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia
> >> Asunto: [CentOS-es] Intento de Hackeo
> >>
> >> Hola gente, tenemos un servidor con centos 5 y en el log secure veo
> >> intentos de acceso por ssh muy seguramente un script (checando la IP
> >> google dice que es alguien de beijing).
> >>
> >> Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip
> >> cambio y siguio cambiando, entonces no veo el caso de estar agregando
> >> las ip al hosts.deny
> >>
> >> Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es
> >> una buena practica de seguridad, asi como tambien limitar el numero de
> >> intentos el tiempo para poner la contraseña y ahi de ratos veo en el log
> >> intentos de acceso por ahi, pero pues por ahi ya no podra entrar.
> >>
> >> ¿Alguna otra recomendacio que me puedan dar para evitar esto?
> >> _______________________________________________
> >> CentOS-es mailing list
> >> CentOS-es en centos.org
> >> http://lists.centos.org/mailman/listinfo/centos-es
> >>
> >>
> >
>
> cuando te refieres a IP dinamicas, tu ISP no te da cualquier IP, sino
> algun IP de los bloques que le fueron asignados, lo que puedes hacer es
> averiguar los rangos IP de tu proveedor, y solo permites esos IP, con
> eso limitas bastante las IP que puedan acceder a tu SSH.
>
> Yo.
> --
> Yoinier Hernández Nieves.
> Administrador de Redes.
> División ZETI
> Nodo Provincial Datazucar Las Tunas.
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
_________________________________________
Juan Pablo Sabino I.
Ing Consultor - Linux Specialist
RedHat Certified Engineer  (RHCE)
RedHat Certified Instructor  (RHCI)
Elastix  Certified Engineer   (ECE)
Departamento Proyectos e Implementación
Cel: +56 9 9842 3494
_________________________________________

Más información sobre la lista de distribución CentOS-es