[CentOS-es] Ataque por ssh2.

Gerardo Barajas gerardo.barajas en gmail.com
Mie Jun 19 15:03:41 UTC 2013


Fail2ban es la onda :)


Saludos/Regards
--
Ing. Gerardo Barajas Puente



2013/6/19 Carlos Restrepo <restrcarlos en gmail.com>

> El 19 de junio de 2013 08:54, Pablo Alberto Flores <pabflore en uchile.cl
> >escribió:
>
> > + 1 fail2ban, puedes agregar mas servicios para que bloquee ataques de
> > fuerza bruta
> >
> >
> > El 19 de junio de 2013 09:51, Luis Huacho Lazo<l.huacho en gmail.com>
> > escribió:
> >
> > > Cambia el puerto del servicio y utiliza DenyHosts que te bloquea IPs a
> > los
> > > intentos infructuosos, o fail2ban
> > >
> > > Saludos Cordiales
> > >
> > > Luis Huacho Lazo
> > >
> > > Enviado desde mi teléfono celular
> > >
> > >
> > > 2013/6/19 victor santana <reparaciononline en gmail.com>
> > >
> > > > cambiar también el puerto de conexión al ssh quitar el que está por
> > > defecto
> > > > 22 por otro..
> > > >
> > > >
> > > > 2013/6/19 Wilmer Arambula <tecnologiaterabyte en gmail.com>
> > > >
> > > > > Ya he configurado mi ssh para que solo autentique desde mi ip, no
> > puede
> > > > > loguear root, sera necesario que lo deshabilite, ya que he sido
> > victima
> > > > de
> > > > > ataques para poder entrar a mi vps, igualmente por el webmin han
> > > > intentado
> > > > > pero la clave que tengo es compleja, que me recomiendadn,
> > > > >
> > > > > Saludos,
> > > > >
> > > > > Anexo Log del Ataque:
> > > > >
> > > > > Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking
> > > > > getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be
> > [109.130.202.24]
> > > > > failed - POSSIBLE BREAK-IN ATTEMPT!
> > > > > Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from
> > > > > 109.130.202.24 port 50811 ssh2
> > > > > Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many
> > > > > authentication failures for root
> > > > > Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth):
> > > > > authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> > > > > rhost=109.130.202.24  user=root
> > > > > Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many
> > > > > authentication failures for root
> > > > > Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root
> > from
> > > > > 109.130.202.24 port 50816 ssh2
> > > > > Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking
> > > > > getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be
> > [109.130.202.24]
> > > > > failed - POSSIBLE BREAK-IN ATTEMPT!
> > > > > Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth):
> > > > > authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> > > > > rhost=109.130.202.24  user=root
> > > > > Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root
> > from
> > > > > 109.130.202.24 port 50865 ssh2
> > > > > Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many
> > > > > authentication failures for root
> > > > >
> > > > > --
> > > > > *Wilmer Arambula. *
> > > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > > > > *
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > >
> > > > _______________________
> > > >   REPARACIONONLINE
> > > >  GARANTIA PARA SU PC
> > > > ********************************
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
> Complementa las sugerencias de los compañeros agregando las siguientes
> líneas al firewalls de tu centos:
>
> -A INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix
> "Conexion sh: "
> -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh
> --rsource
> -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck
> --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT
>
> Luego reinicia el iptables para que apliquen los cambios
>
> Puedes bajar aun mas los datos de segundos y conexiones (ya es a gusto del
> consumidor)
> --
> Carlos R!.
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>


Más información sobre la lista de distribución CentOS-es