[CentOS-es] Ataque por ssh2.

Pablo Alberto Flores pabflore en uchile.cl
Jue Jun 20 20:38:10 UTC 2013


ademas te podrias instalar un snort (IDS) para que veas mas ataques de
diferentes puertos, escaneos, ejecucion de script, etc.
eso si no es facil


El 20 de junio de 2013 12:36, Gerardo
Barajas<gerardo.barajas en gmail.com>escribió:

> En México al CERT-UNAM:
> http://www.cert.org.mx/index.html
>
>
>
> Saludos/Regards
> --
> Ing. Gerardo Barajas Puente
>
>
>
> 2013/6/20 Wilmer Arambula <tecnologiaterabyte en gmail.com>
>
> > Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y
> > todo, a que organismo se pueden denunciar este tipo de infracciones o
> > ataques, se que puede ser una utopia pero que les baneen la ip seria
> bueno,
> >
> > Anexo uno de los correos del Fail2Ban:
> >
> > Hi,
> >
> > The IP 187.44.1.153 has just been banned by Fail2Ban after
> > 3 attempts against SSH,IPFW.
> >
> >
> > Here are more information about 187.44.1.153:
> >
> > [Querying whois.arin.net]
> > [Redirected to whois.lacnic.net]
> > [Querying whois.lacnic.net]
> > [Redirected to whois.registro.br]
> > [Querying whois.registro.br]
> > [whois.registro.br]
> >
> > % Copyright (c) Nic.br
> > %  The use of the data below is only permitted as described in
> > %  full by the terms of use (http://registro.br/termo/en.html),
> > %  being prohibited its distribution, comercialization or
> > %  reproduction, in particular, to use it for advertising or
> > %  any similar purpose.
> > %  2013-06-20 13:13:58 (BRT -03:00)
> >
> > inetnum:     187.44.0/18
> > aut-num:     AS28202
> > abuse-c:     ADMAS5
> > owner:       Rede Brasileira de Comunicacao Ltda
> > ownerid:     001.766.744/0001-84
> > responsible: Equipe de Engenharia de Redes
> > country:     BR
> > owner-c:     ADMAS5
> > tech-c:      ADMAS5
> > inetrev:     187.44.0/18
> > nserver:     ns1.mastercabo.com.br
> > nsstat:      20130619 AA
> > nslastaa:    20130619
> > nserver:     ns2.mastercabo.com.br
> > nsstat:      20130619 AA
> > nslastaa:    20130619
> > created:     20090126
> > changed:     20130307
> >
> > nic-hdl-br:  ADMAS5
> > person:      Administrativo MasterCabo
> > e-mail:      admin en mastercabo.com.br
> > created:     20080402
> > changed:     20121226
> >
> > % Security and mail abuse issues should also be addressed to
> > % cert.br, http://www.cert.br/, respectivelly to cert en cert.br
> > % and mail-abuse en cert.br
> > %
> > % whois.registro.br accepts only direct match queries. Types
> > % of queries are: domain (.br), ticket, provider, ID, CIDR
> > % block, IP and ASN.
> >
> >
> > Regards,
> >
> > Fail2Ban
> >
> >
> > Saludos,
> >
> >
> >
> >
> > El 19 de junio de 2013 14:34, <domingov en linuxsc.net> escribió:
> >
> > > A eso me refiero. ..
> > >
> > > Sent from my android device.
> > > One step ahead.
> > >
> > >
> > >
> > > -----Original Message-----
> > > From: Pablo Alberto Flores <pabflore en uchile.cl>
> > > To: centos-es en centos.org
> > > Sent: mié, 19 jun 2013 13:55
> > > Subject: Re: [CentOS-es] Ataque por ssh2.
> > >
> > > una buena practica es configurar ssh (/etc/ssh/sshd_config)
> > >
> > > LoginGraceTime 30
> > > PermitRootLogin no
> > > MaxAuthTries 3
> > > AllowUsers tu_usuario otro_usuario otro_mas
> > >
> > >
> > >
> > > El 19 de junio de 2013 14:36, <domingov en linuxsc.net> escribió:
> > >
> > > > Configurar el ssh que solo usuarios autorizados puedan hacer uso del
> > > > mismo... tipo acl  ...
> > > >
> > > > Sent from my android device.
> > > > One step ahead.
> > > >
> > > >
> > > >
> > > > -----Original Message-----
> > > > From: Walter Cervini <wcervini en gmail.com>
> > > > To: centos-es en centos.org, Miguel Gonzalez <
> miguel_3_gonzalez en yahoo.es>
> > > > Sent: mié, 19 jun 2013 13:28
> > > > Subject: Re: [CentOS-es] Ataque por ssh2.
> > > >
> > > > Comparto la misma opinion que todos los colegas que te han aportado
> sus
> > > > conocimientos,
> > > > yo agregaria algo adicional a todo eso
> > > >
> > > >    1. NO permitir el acceso a ssh como usuario root
> > > >    2. Hacer uso de Sudo para configurar a cada uno de los usuarios
> las
> > > >    funcionalidades necesarias
> > > >    3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso
> > > >    fallido,
> > > >    4. Cambiar los puertos por defecto para ssh, mientras mas alto sea
> > el
> > > >    numero del puerto menos probable que tengas escaneo de puertos.
> > > >    5. Tener algún IDS de sistema, a fin de poder verificar si el
> equipo
> > > >    esta comprometido.
> > > >    6. Recibir notificaciones Via Email por cada intento fallido o por
> > > cada
> > > >    bloqueo del puerto a una IP
> > > >    7. Opcional puedes habilitar el servicios por horas con el uso de
> > cron
> > > >    8. La mas importante de todas las recomendaciones es que mantengas
> > un
> > > >    monitoreo constante de tus equipos. Todo lo que hagas para
> proteger
> > > tus
> > > >    equipos nunca es suficiente.
> > > >
> > > >
> > > > *Walter Cervini*
> > > > RHCSA- RHCVA
> > > > Redhat Certificate Verification <http://red.ht/17kDRCa>
> > > > wcervini en gmail.com
> > > > cerviniw en yahoo.com
> > > > waltercervini en hotmail.com
> > > > *412-2042186*
> > > > *426-8060118*
> > > >  <https://twitter.com/v0lp>@v0lp
> > > >
> > > >
> > > >
> > > > El 19 de junio de 2013 11:30, Miguel Gonzalez
> > > > <miguel_3_gonzalez en yahoo.es>escribió:
> > > >
> > > > > Es importante saber que fail2ban por defecto solo banea
> temporalmente
> > > > (por
> > > > > regla general es suficiente).
> > > > >
> > > > > Si quieres hacerlo de manera permanente, o lo indicas en la
> > > configuración
> > > > > o puedes crear un baneo fail2ban (busca algun tutorial) que busca
> en
> > el
> > > > > mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP
> > > > > definitivamente.
> > > > >
> > > > > Esto de definitivo es mientras el servicio se mantenga activo y en
> > > > > memoria, asi que en caso de reboot o reinicio del servicio se
> > perderían
> > > > > esos baneos.
> > > > >
> > > > > Saludos,
> > > > >
> > > > > Miguel
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > ________________________________
> > > > >  De: Wilmer Arambula <tecnologiaterabyte en gmail.com>
> > > > > Para: centos-es en centos.org
> > > > > Enviado: Miércoles 19 de junio de 2013 17:43
> > > > > Asunto: Re: [CentOS-es] Ataque por ssh2.
> > > > >
> > > > >
> > > > > Listo instale file2bam con los servicios que estoy usando,
> > > > >
> > > > > Saludos y gracias.
> > > > >
> > > > >
> > > > > El 19 de junio de 2013 10:57, Héctor Herrera <hherreraa en gmail.com>
> > > > > escribió:
> > > > >
> > > > > > También podrías añadir al iptables autenticación solamente a
> > algunas
> > > > MAC
> > > > > y
> > > > > > con política por defecto DROP
> > > > > >
> > > > > > iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
> > > > > >
> > > > > > (Puede que me equivoque, estoy escribiendo de memoria la regla,
> > pero
> > > > > > debería ser algo así)
> > > > > >
> > > > > >
> > > > > > El 19 de junio de 2013 11:21, Diego Chacón <diego en gridshield.net
> >
> > > > > > escribió:
> > > > > >
> > > > > > > On 6/19/13 7:31 AM, Wilmer Arambula wrote:
> > > > > > > > Ya he configurado mi ssh para que solo autentique desde mi
> ip,
> > no
> > > > > puede
> > > > > > > > loguear root, sera necesario que lo deshabilite, ya que he
> sido
> > > > > victima
> > > > > > > de
> > > > > > > > ataques para poder entrar a mi vps, igualmente por el webmin
> > han
> > > > > > > intentado
> > > > > > > > pero la clave que tengo es compleja, que me recomiendadn,
> > > > > > > >
> > > > > > > > Saludos,
> > > > > > > >
> > > > > > > >
> > > > > > >
> > > > > > > Hace algunos años escribi este post, le puede servir.
> > > > > > >
> > > > > > >
> > > > >
> > >
> http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
> > > > > > >
> > > > > > > Adicionalmente, agregaría un buen firewall que solo permita ssh
> > > desde
> > > > > > > algunas ip, y solo autenticar con llave no con contraseña.
> > > > > > >
> > > > > > > Saludos,
> > > > > > >
> > > > > > > --
> > > > > > > Diego Chacón Rojas
> > > > > > > Teléfono: +506 2258.5757
> > > > > > > E-mail: diego en gridshield.net
> > > > > > > Gridshield: I.T. Service Management
> > > > > > >
> > > > > > > _______________________________________________
> > > > > > > CentOS-es mailing list
> > > > > > > CentOS-es en centos.org
> > > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Saludos
> > > > > >
> > > > > > *Héctor Herrera Anabalón*
> > > > > > Egresado ICCI UNAP
> > > > > > Servicio Arquitectura Galatea - Oficina Técnica
> > > http://www.galatea.cl
> > > > > > Miembro USoLIX Victoria
> > > > > > Registered User #548600 (LinuxCounter.net)
> > > > > > _______________________________________________
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es en centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > *Wilmer Arambula. *
> > > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > > > > Venezuela.*
> > > > > *
> > > > > *
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > *Wilmer Arambula. *
> > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > Venezuela.*
> > *
> > Representante Para Venezuela.*
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>


Más información sobre la lista de distribución CentOS-es