[CentOS-es] Ataque por ssh2.
Carlos Restrepo
restrcarlos en gmail.com
Mie Jun 19 15:02:35 UTC 2013
El 19 de junio de 2013 08:54, Pablo Alberto Flores <pabflore en uchile.cl>escribió:
> + 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de
> fuerza bruta
>
>
> El 19 de junio de 2013 09:51, Luis Huacho Lazo<l.huacho en gmail.com>
> escribió:
>
> > Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a
> los
> > intentos infructuosos, o fail2ban
> >
> > Saludos Cordiales
> >
> > Luis Huacho Lazo
> >
> > Enviado desde mi teléfono celular
> >
> >
> > 2013/6/19 victor santana <reparaciononline en gmail.com>
> >
> > > cambiar también el puerto de conexión al ssh quitar el que está por
> > defecto
> > > 22 por otro..
> > >
> > >
> > > 2013/6/19 Wilmer Arambula <tecnologiaterabyte en gmail.com>
> > >
> > > > Ya he configurado mi ssh para que solo autentique desde mi ip, no
> puede
> > > > loguear root, sera necesario que lo deshabilite, ya que he sido
> victima
> > > de
> > > > ataques para poder entrar a mi vps, igualmente por el webmin han
> > > intentado
> > > > pero la clave que tengo es compleja, que me recomiendadn,
> > > >
> > > > Saludos,
> > > >
> > > > Anexo Log del Ataque:
> > > >
> > > > Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking
> > > > getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be
> [109.130.202.24]
> > > > failed - POSSIBLE BREAK-IN ATTEMPT!
> > > > Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from
> > > > 109.130.202.24 port 50811 ssh2
> > > > Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many
> > > > authentication failures for root
> > > > Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth):
> > > > authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> > > > rhost=109.130.202.24 user=root
> > > > Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many
> > > > authentication failures for root
> > > > Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root
> from
> > > > 109.130.202.24 port 50816 ssh2
> > > > Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking
> > > > getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be
> [109.130.202.24]
> > > > failed - POSSIBLE BREAK-IN ATTEMPT!
> > > > Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth):
> > > > authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> > > > rhost=109.130.202.24 user=root
> > > > Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root
> from
> > > > 109.130.202.24 port 50865 ssh2
> > > > Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many
> > > > authentication failures for root
> > > >
> > > > --
> > > > *Wilmer Arambula. *
> > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > > > *
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > >
> > >
> > >
> > > --
> > >
> > > _______________________
> > > REPARACIONONLINE
> > > GARANTIA PARA SU PC
> > > ********************************
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Complementa las sugerencias de los compañeros agregando las siguientes
líneas al firewalls de tu centos:
-A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix
"Conexion sh: "
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh
--rsource
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck
--seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
Luego reinicia el iptables para que apliquen los cambios
Puedes bajar aun mas los datos de segundos y conexiones (ya es a gusto del
consumidor)
--
Carlos R!.
Más información sobre la lista de distribución CentOS-es