[CentOS-es] Ataque por ssh2 del Resumen de CentOS-es, Vol 78, Envío 34
Carlos Restrepo
restrcarlos en gmail.com
Jue Jun 20 14:50:16 UTC 2013
El 20 de junio de 2013 07:23, Wilmer Arambula
<tecnologiaterabyte en gmail.com>escribió:
> Gracias a todos por sus respuestas agrego un consejo es bueno probar los
> filtros del fail2bam con los logs, asi verán si funcionan correctamente,
> agregare que se puede banear con route add y se colocan las ip en rc.local,
> asi cuando reinicien el server siempre estaran baneadas esas ip,
>
> Saludos,
>
>
> 2013/6/19 Eduardo De Angeli <edumanx en hotmail.com>
>
> > Wilmer,
> >
> > Podes utilizar el /etc/hosts.allow donde pones el protocolo e IP's
> > permitidas para accederlo, junto con el /etc/hosts.deny
> > En /etc/hosts.allow
> > sshd: 10.10.10.10,10.10.10.184
> > Y en /etc/hosts.deny
> > ALL: ALL
> >
> > suerte.
> > eduardo.
> >
> > >
> > > Message: 1
> > > Date: Wed, 19 Jun 2013 09:01:16 -0430
> > > From: Wilmer Arambula <tecnologiaterabyte en gmail.com>
> > > Subject: [CentOS-es] Ataque por ssh2.
> > > To: centos-es en centos.org
> > > Message-ID:
> > > <
> > CA+L8nSjPnVuhAdibWo+Ov2eDV-DQdxU0124YAd+ZOJ5BkqjJRA en mail.gmail.com>
> > > Content-Type: text/plain; charset=ISO-8859-1
> > >
> > > Ya he configurado mi ssh para que solo autentique desde mi ip, no puede
> > > loguear root, sera necesario que lo deshabilite, ya que he sido victima
> > de
> > > ataques para poder entrar a mi vps, igualmente por el webmin han
> > intentado
> > > pero la clave que tengo es compleja, que me recomiendadn,
> > >
> > > Saludos,
> > >
> > > Anexo Log del Ataque:
> > >
> > > Jun 18 20:07:31 cjtterabyte sshd[22349]: reverse mapping checking
> > > getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24]
> > > failed - POSSIBLE BREAK-IN ATTEMPT!
> > > Jun 18 20:07:32 cjtterabyte sshd[22349]: Failed none for root from
> > > 109.130.202.24 port 50811 ssh2
> > > Jun 18 20:07:32 cjtterabyte sshd[22350]: Disconnecting: Too many
> > > authentication failures for root
> > > Jun 18 20:07:32 cjtterabyte sshd[22351]: pam_unix(sshd:auth):
> > > authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> > > rhost=109.130.202.24 user=root
> > > Jun 18 20:07:34 cjtterabyte sshd[22352]: Disconnecting: Too many
> > > authentication failures for root
> > > Jun 18 20:07:34 cjtterabyte sshd[22351]: Failed password for root from
> > > 109.130.202.24 port 50816 ssh2
> > > Jun 18 20:07:35 cjtterabyte sshd[22353]: reverse mapping checking
> > > getaddrinfo for 24.202-130-109.adsl-dyn.isp.belgacom.be[109.130.202.24]
> > > failed - POSSIBLE BREAK-IN ATTEMPT!
> > > Jun 18 20:07:35 cjtterabyte sshd[22353]: pam_unix(sshd:auth):
> > > authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> > > rhost=109.130.202.24 user=root
> > > Jun 18 20:07:37 cjtterabyte sshd[22353]: Failed password for root from
> > > 109.130.202.24 port 50865 ssh2
> > > Jun 18 20:07:37 cjtterabyte sshd[22354]: Disconnecting: Too many
> > > authentication failures for root
> > >
> > > --
> > > *Wilmer Arambula. *
> > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > > *
> > > ------------------------------
> >
> >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> *Wilmer Arambula. *
> *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> Venezuela.*
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Excelente retroalimentación.
--
Carlos R!.
Más información sobre la lista de distribución CentOS-es