[CentOS-es] Ataque por ssh2 del Resumen de CentOS-es, Vol 78, Envío 34

Wilmer Arambula tecnologiaterabyte en gmail.com
Jue Jun 20 12:23:39 UTC 2013 

Gracias a todos por sus respuestas agrego un consejo es bueno probar los
filtros del fail2bam con los logs, asi verán si funcionan correctamente,
agregare que se puede banear con route add y se colocan las ip en rc.local,
asi cuando reinicien el server siempre estaran baneadas esas ip,

Saludos,


2013/6/19 Eduardo De Angeli <edumanx en hotmail.com>

> Wilmer,
>
> Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's
> permitidas para accederlo, junto con el /etc/hosts.deny
> En /etc/hosts.allow
> sshd: 10.10.10.10,10.10.10.184
> Y en /etc/hosts.deny
> ALL: ALL
>
> suerte.
> eduardo.
>
> >
> > Message: 1
> > Date: Wed, 19 Jun 2013 09:01:16 -0430
> > From: Wilmer Arambula <tecnologiaterabyte en gmail.com>
> > Subject: [CentOS-es] Ataque por ssh2.
> > To: centos-es en centos.org
> > Message-ID:
> >       <
> CA+L8nSjPnVuhAdibWo+Ov2eDV-DQdxU0124YAd+ZOJ5BkqjJRA en mail.gmail.com>
> > Content-Type: text/plain; charset=ISO-8859-1
> >
> > Ya he configurado mi ssh para que solo autentique desde mi ip, no puede
> > loguear root, sera necesario que lo deshabilite, ya que he sido victima
> de
> > ataques para poder entrar a mi vps, igualmente por el webmin han
> intentado
> > pero la clave que tengo es compleja, que me recomiendadn,
> >
> > Saludos,
> >
> > Anexo Log del Ataque:
> >
> > Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking
> > getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24]
> > failed - POSSIBLE BREAK-IN ATTEMPT!
> > Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from
> > 109.130.202.24 port 50811 ssh2
> > Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many
> > authentication failures for root
> > Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth):
> > authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> > rhost=109.130.202.24  user=root
> > Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many
> > authentication failures for root
> > Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from
> > 109.130.202.24 port 50816 ssh2
> > Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking
> > getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be [109.130.202.24]
> > failed - POSSIBLE BREAK-IN ATTEMPT!
> > Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth):
> > authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> > rhost=109.130.202.24  user=root
> > Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from
> > 109.130.202.24 port 50865 ssh2
> > Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many
> > authentication failures for root
> >
> > --
> > *Wilmer Arambula. *
> > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > *
> > ------------------------------
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
*Wilmer Arambula. *
*Asoc. Cooperativa Tecnologia Terabyte 124, RL.
Venezuela.*

Más información sobre la lista de distribución CentOS-es