[CentOS-es] Ataque por ssh2.

Gerardo Barajas gerardo.barajas en gmail.com
Jue Jun 20 16:36:15 UTC 2013 

En México al CERT-UNAM:
http://www.cert.org.mx/index.html



Saludos/Regards
--
Ing. Gerardo Barajas Puente



2013/6/20 Wilmer Arambula <tecnologiaterabyte en gmail.com>

> Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y
> todo, a que organismo se pueden denunciar este tipo de infracciones o
> ataques, se que puede ser una utopia pero que les baneen la ip seria bueno,
>
> Anexo uno de los correos del Fail2Ban:
>
> Hi,
>
> The IP 187.44.1.153 has just been banned by Fail2Ban after
> 3 attempts against SSH,IPFW.
>
>
> Here are more information about 187.44.1.153:
>
> [Querying whois.arin.net]
> [Redirected to whois.lacnic.net]
> [Querying whois.lacnic.net]
> [Redirected to whois.registro.br]
> [Querying whois.registro.br]
> [whois.registro.br]
>
> % Copyright (c) Nic.br
> %  The use of the data below is only permitted as described in
> %  full by the terms of use (http://registro.br/termo/en.html),
> %  being prohibited its distribution, comercialization or
> %  reproduction, in particular, to use it for advertising or
> %  any similar purpose.
> %  2013-06-20 13:13:58 (BRT -03:00)
>
> inetnum:     187.44.0/18
> aut-num:     AS28202
> abuse-c:     ADMAS5
> owner:       Rede Brasileira de Comunicacao Ltda
> ownerid:     001.766.744/0001-84
> responsible: Equipe de Engenharia de Redes
> country:     BR
> owner-c:     ADMAS5
> tech-c:      ADMAS5
> inetrev:     187.44.0/18
> nserver:     ns1.mastercabo.com.br
> nsstat:      20130619 AA
> nslastaa:    20130619
> nserver:     ns2.mastercabo.com.br
> nsstat:      20130619 AA
> nslastaa:    20130619
> created:     20090126
> changed:     20130307
>
> nic-hdl-br:  ADMAS5
> person:      Administrativo MasterCabo
> e-mail:      admin en mastercabo.com.br
> created:     20080402
> changed:     20121226
>
> % Security and mail abuse issues should also be addressed to
> % cert.br, http://www.cert.br/, respectivelly to cert en cert.br
> % and mail-abuse en cert.br
> %
> % whois.registro.br accepts only direct match queries. Types
> % of queries are: domain (.br), ticket, provider, ID, CIDR
> % block, IP and ASN.
>
>
> Regards,
>
> Fail2Ban
>
>
> Saludos,
>
>
>
>
> El 19 de junio de 2013 14:34, <domingov en linuxsc.net> escribió:
>
> > A eso me refiero. ..
> >
> > Sent from my android device.
> > One step ahead.
> >
> >
> >
> > -----Original Message-----
> > From: Pablo Alberto Flores <pabflore en uchile.cl>
> > To: centos-es en centos.org
> > Sent: mié, 19 jun 2013 13:55
> > Subject: Re: [CentOS-es] Ataque por ssh2.
> >
> > una buena practica es configurar ssh (/etc/ssh/sshd_config)
> >
> > LoginGraceTime 30
> > PermitRootLogin no
> > MaxAuthTries 3
> > AllowUsers tu_usuario otro_usuario otro_mas
> >
> >
> >
> > El 19 de junio de 2013 14:36, <domingov en linuxsc.net> escribió:
> >
> > > Configurar el ssh que solo usuarios autorizados puedan hacer uso del
> > > mismo... tipo acl  ...
> > >
> > > Sent from my android device.
> > > One step ahead.
> > >
> > >
> > >
> > > -----Original Message-----
> > > From: Walter Cervini <wcervini en gmail.com>
> > > To: centos-es en centos.org, Miguel Gonzalez <miguel_3_gonzalez en yahoo.es>
> > > Sent: mié, 19 jun 2013 13:28
> > > Subject: Re: [CentOS-es] Ataque por ssh2.
> > >
> > > Comparto la misma opinion que todos los colegas que te han aportado sus
> > > conocimientos,
> > > yo agregaria algo adicional a todo eso
> > >
> > >    1. NO permitir el acceso a ssh como usuario root
> > >    2. Hacer uso de Sudo para configurar a cada uno de los usuarios las
> > >    funcionalidades necesarias
> > >    3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso
> > >    fallido,
> > >    4. Cambiar los puertos por defecto para ssh, mientras mas alto sea
> el
> > >    numero del puerto menos probable que tengas escaneo de puertos.
> > >    5. Tener algún IDS de sistema, a fin de poder verificar si el equipo
> > >    esta comprometido.
> > >    6. Recibir notificaciones Via Email por cada intento fallido o por
> > cada
> > >    bloqueo del puerto a una IP
> > >    7. Opcional puedes habilitar el servicios por horas con el uso de
> cron
> > >    8. La mas importante de todas las recomendaciones es que mantengas
> un
> > >    monitoreo constante de tus equipos. Todo lo que hagas para proteger
> > tus
> > >    equipos nunca es suficiente.
> > >
> > >
> > > *Walter Cervini*
> > > RHCSA- RHCVA
> > > Redhat Certificate Verification <http://red.ht/17kDRCa>
> > > wcervini en gmail.com
> > > cerviniw en yahoo.com
> > > waltercervini en hotmail.com
> > > *412-2042186*
> > > *426-8060118*
> > >  <https://twitter.com/v0lp>@v0lp
> > >
> > >
> > >
> > > El 19 de junio de 2013 11:30, Miguel Gonzalez
> > > <miguel_3_gonzalez en yahoo.es>escribió:
> > >
> > > > Es importante saber que fail2ban por defecto solo banea temporalmente
> > > (por
> > > > regla general es suficiente).
> > > >
> > > > Si quieres hacerlo de manera permanente, o lo indicas en la
> > configuración
> > > > o puedes crear un baneo fail2ban (busca algun tutorial) que busca en
> el
> > > > mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP
> > > > definitivamente.
> > > >
> > > > Esto de definitivo es mientras el servicio se mantenga activo y en
> > > > memoria, asi que en caso de reboot o reinicio del servicio se
> perderían
> > > > esos baneos.
> > > >
> > > > Saludos,
> > > >
> > > > Miguel
> > > >
> > > >
> > > >
> > > >
> > > > ________________________________
> > > >  De: Wilmer Arambula <tecnologiaterabyte en gmail.com>
> > > > Para: centos-es en centos.org
> > > > Enviado: Miércoles 19 de junio de 2013 17:43
> > > > Asunto: Re: [CentOS-es] Ataque por ssh2.
> > > >
> > > >
> > > > Listo instale file2bam con los servicios que estoy usando,
> > > >
> > > > Saludos y gracias.
> > > >
> > > >
> > > > El 19 de junio de 2013 10:57, Héctor Herrera <hherreraa en gmail.com>
> > > > escribió:
> > > >
> > > > > También podrías añadir al iptables autenticación solamente a
> algunas
> > > MAC
> > > > y
> > > > > con política por defecto DROP
> > > > >
> > > > > iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
> > > > >
> > > > > (Puede que me equivoque, estoy escribiendo de memoria la regla,
> pero
> > > > > debería ser algo así)
> > > > >
> > > > >
> > > > > El 19 de junio de 2013 11:21, Diego Chacón <diego en gridshield.net>
> > > > > escribió:
> > > > >
> > > > > > On 6/19/13 7:31 AM, Wilmer Arambula wrote:
> > > > > > > Ya he configurado mi ssh para que solo autentique desde mi ip,
> no
> > > > puede
> > > > > > > loguear root, sera necesario que lo deshabilite, ya que he sido
> > > > victima
> > > > > > de
> > > > > > > ataques para poder entrar a mi vps, igualmente por el webmin
> han
> > > > > > intentado
> > > > > > > pero la clave que tengo es compleja, que me recomiendadn,
> > > > > > >
> > > > > > > Saludos,
> > > > > > >
> > > > > > >
> > > > > >
> > > > > > Hace algunos años escribi este post, le puede servir.
> > > > > >
> > > > > >
> > > >
> > http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
> > > > > >
> > > > > > Adicionalmente, agregaría un buen firewall que solo permita ssh
> > desde
> > > > > > algunas ip, y solo autenticar con llave no con contraseña.
> > > > > >
> > > > > > Saludos,
> > > > > >
> > > > > > --
> > > > > > Diego Chacón Rojas
> > > > > > Teléfono: +506 2258.5757
> > > > > > E-mail: diego en gridshield.net
> > > > > > Gridshield: I.T. Service Management
> > > > > >
> > > > > > _______________________________________________
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es en centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Saludos
> > > > >
> > > > > *Héctor Herrera Anabalón*
> > > > > Egresado ICCI UNAP
> > > > > Servicio Arquitectura Galatea - Oficina Técnica
> > http://www.galatea.cl
> > > > > Miembro USoLIX Victoria
> > > > > Registered User #548600 (LinuxCounter.net)
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > *Wilmer Arambula. *
> > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > > > Venezuela.*
> > > > *
> > > > *
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> *Wilmer Arambula. *
> *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> Venezuela.*
> *
> Representante Para Venezuela.*
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

Más información sobre la lista de distribución CentOS-es