[CentOS-es] Ataque por ssh2.

Elio Bastias, Project Managers elio.bastias en gmail.com
Dom Jun 23 22:08:03 UTC 2013 

Buenas noches Wilmer,
Te cuento mi experiencia (Ar), hace un par de meses uno de mis clientes
estuvo con varios ataques de IP rusas y chinas y alguna de forma local como
ser rangos de IP de Telmex.
El tema es que tiene un host en EEUU muy bueno, pero el tráfico que
generaba era muy alto.
Entonces empece a ver de donde venía ese tráfico y como se comportaba. Para
resumir las IP rusas y chinas usaban IP de EEUU para generar ataques de
DDos a sitios locales y algunos en españa y colombia. En el caso local en
argentina, me contacte via correo y telefónicamente hablando con el
administrador y explicándole lo que pasaba, de esta forma pudimos trabajar
en conjunto neutralizando el tráfico y proteger a los clientes.-
Mi consejo es que te comuniques vía mail al administrador del Rango de IP
para explicarle lo que esta pasando, quizas ellos no tengan idea de que sus
IP están usadas para realizar diferentes tipo de ataques, ( DDos)

Sin más,
Espero que te haya ayudado,
Saluda Atte.,


El 20 de junio de 2013 13:23, Wilmer Arambula
<tecnologiaterabyte en gmail.com>escribió:

> Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y
> todo, a que organismo se pueden denunciar este tipo de infracciones o
> ataques, se que puede ser una utopia pero que les baneen la ip seria bueno,
>
> Anexo uno de los correos del Fail2Ban:
>
> Hi,
>
> The IP 187.44.1.153 has just been banned by Fail2Ban after
> 3 attempts against SSH,IPFW.
>
>
> Here are more information about 187.44.1.153:
>
> [Querying whois.arin.net]
> [Redirected to whois.lacnic.net]
> [Querying whois.lacnic.net]
> [Redirected to whois.registro.br]
> [Querying whois.registro.br]
> [whois.registro.br]
>
> % Copyright (c) Nic.br
> %  The use of the data below is only permitted as described in
> %  full by the terms of use (http://registro.br/termo/en.html),
> %  being prohibited its distribution, comercialization or
> %  reproduction, in particular, to use it for advertising or
> %  any similar purpose.
> %  2013-06-20 13:13:58 (BRT -03:00)
>
> inetnum:     187.44.0/18
> aut-num:     AS28202
> abuse-c:     ADMAS5
> owner:       Rede Brasileira de Comunicacao Ltda
> ownerid:     001.766.744/0001-84
> responsible: Equipe de Engenharia de Redes
> country:     BR
> owner-c:     ADMAS5
> tech-c:      ADMAS5
> inetrev:     187.44.0/18
> nserver:     ns1.mastercabo.com.br
> nsstat:      20130619 AA
> nslastaa:    20130619
> nserver:     ns2.mastercabo.com.br
> nsstat:      20130619 AA
> nslastaa:    20130619
> created:     20090126
> changed:     20130307
>
> nic-hdl-br:  ADMAS5
> person:      Administrativo MasterCabo
> e-mail:      admin en mastercabo.com.br
> created:     20080402
> changed:     20121226
>
> % Security and mail abuse issues should also be addressed to
> % cert.br, http://www.cert.br/, respectivelly to cert en cert.br
> % and mail-abuse en cert.br
> %
> % whois.registro.br accepts only direct match queries. Types
> % of queries are: domain (.br), ticket, provider, ID, CIDR
> % block, IP and ASN.
>
>
> Regards,
>
> Fail2Ban
>
>
> Saludos,
>
>
>
>
> El 19 de junio de 2013 14:34, <domingov en linuxsc.net> escribió:
>
> > A eso me refiero. ..
> >
> > Sent from my android device.
> > One step ahead.
> >
> >
> >
> > -----Original Message-----
> > From: Pablo Alberto Flores <pabflore en uchile.cl>
> > To: centos-es en centos.org
> > Sent: mié, 19 jun 2013 13:55
> > Subject: Re: [CentOS-es] Ataque por ssh2.
> >
> > una buena practica es configurar ssh (/etc/ssh/sshd_config)
> >
> > LoginGraceTime 30
> > PermitRootLogin no
> > MaxAuthTries 3
> > AllowUsers tu_usuario otro_usuario otro_mas
> >
> >
> >
> > El 19 de junio de 2013 14:36, <domingov en linuxsc.net> escribió:
> >
> > > Configurar el ssh que solo usuarios autorizados puedan hacer uso del
> > > mismo... tipo acl  ...
> > >
> > > Sent from my android device.
> > > One step ahead.
> > >
> > >
> > >
> > > -----Original Message-----
> > > From: Walter Cervini <wcervini en gmail.com>
> > > To: centos-es en centos.org, Miguel Gonzalez <miguel_3_gonzalez en yahoo.es>
> > > Sent: mié, 19 jun 2013 13:28
> > > Subject: Re: [CentOS-es] Ataque por ssh2.
> > >
> > > Comparto la misma opinion que todos los colegas que te han aportado sus
> > > conocimientos,
> > > yo agregaria algo adicional a todo eso
> > >
> > >    1. NO permitir el acceso a ssh como usuario root
> > >    2. Hacer uso de Sudo para configurar a cada uno de los usuarios las
> > >    funcionalidades necesarias
> > >    3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso
> > >    fallido,
> > >    4. Cambiar los puertos por defecto para ssh, mientras mas alto sea
> el
> > >    numero del puerto menos probable que tengas escaneo de puertos.
> > >    5. Tener algún IDS de sistema, a fin de poder verificar si el equipo
> > >    esta comprometido.
> > >    6. Recibir notificaciones Via Email por cada intento fallido o por
> > cada
> > >    bloqueo del puerto a una IP
> > >    7. Opcional puedes habilitar el servicios por horas con el uso de
> cron
> > >    8. La mas importante de todas las recomendaciones es que mantengas
> un
> > >    monitoreo constante de tus equipos. Todo lo que hagas para proteger
> > tus
> > >    equipos nunca es suficiente.
> > >
> > >
> > > *Walter Cervini*
> > > RHCSA- RHCVA
> > > Redhat Certificate Verification <http://red.ht/17kDRCa>
> > > wcervini en gmail.com
> > > cerviniw en yahoo.com
> > > waltercervini en hotmail.com
> > > *412-2042186*
> > > *426-8060118*
> > >  <https://twitter.com/v0lp>@v0lp
> > >
> > >
> > >
> > > El 19 de junio de 2013 11:30, Miguel Gonzalez
> > > <miguel_3_gonzalez en yahoo.es>escribió:
> > >
> > > > Es importante saber que fail2ban por defecto solo banea temporalmente
> > > (por
> > > > regla general es suficiente).
> > > >
> > > > Si quieres hacerlo de manera permanente, o lo indicas en la
> > configuración
> > > > o puedes crear un baneo fail2ban (busca algun tutorial) que busca en
> el
> > > > mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP
> > > > definitivamente.
> > > >
> > > > Esto de definitivo es mientras el servicio se mantenga activo y en
> > > > memoria, asi que en caso de reboot o reinicio del servicio se
> perderían
> > > > esos baneos.
> > > >
> > > > Saludos,
> > > >
> > > > Miguel
> > > >
> > > >
> > > >
> > > >
> > > > ________________________________
> > > >  De: Wilmer Arambula <tecnologiaterabyte en gmail.com>
> > > > Para: centos-es en centos.org
> > > > Enviado: Miércoles 19 de junio de 2013 17:43
> > > > Asunto: Re: [CentOS-es] Ataque por ssh2.
> > > >
> > > >
> > > > Listo instale file2bam con los servicios que estoy usando,
> > > >
> > > > Saludos y gracias.
> > > >
> > > >
> > > > El 19 de junio de 2013 10:57, Héctor Herrera <hherreraa en gmail.com>
> > > > escribió:
> > > >
> > > > > También podrías añadir al iptables autenticación solamente a
> algunas
> > > MAC
> > > > y
> > > > > con política por defecto DROP
> > > > >
> > > > > iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
> > > > >
> > > > > (Puede que me equivoque, estoy escribiendo de memoria la regla,
> pero
> > > > > debería ser algo así)
> > > > >
> > > > >
> > > > > El 19 de junio de 2013 11:21, Diego Chacón <diego en gridshield.net>
> > > > > escribió:
> > > > >
> > > > > > On 6/19/13 7:31 AM, Wilmer Arambula wrote:
> > > > > > > Ya he configurado mi ssh para que solo autentique desde mi ip,
> no
> > > > puede
> > > > > > > loguear root, sera necesario que lo deshabilite, ya que he sido
> > > > victima
> > > > > > de
> > > > > > > ataques para poder entrar a mi vps, igualmente por el webmin
> han
> > > > > > intentado
> > > > > > > pero la clave que tengo es compleja, que me recomiendadn,
> > > > > > >
> > > > > > > Saludos,
> > > > > > >
> > > > > > >
> > > > > >
> > > > > > Hace algunos años escribi este post, le puede servir.
> > > > > >
> > > > > >
> > > >
> > http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
> > > > > >
> > > > > > Adicionalmente, agregaría un buen firewall que solo permita ssh
> > desde
> > > > > > algunas ip, y solo autenticar con llave no con contraseña.
> > > > > >
> > > > > > Saludos,
> > > > > >
> > > > > > --
> > > > > > Diego Chacón Rojas
> > > > > > Teléfono: +506 2258.5757
> > > > > > E-mail: diego en gridshield.net
> > > > > > Gridshield: I.T. Service Management
> > > > > >
> > > > > > _______________________________________________
> > > > > > CentOS-es mailing list
> > > > > > CentOS-es en centos.org
> > > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Saludos
> > > > >
> > > > > *Héctor Herrera Anabalón*
> > > > > Egresado ICCI UNAP
> > > > > Servicio Arquitectura Galatea - Oficina Técnica
> > http://www.galatea.cl
> > > > > Miembro USoLIX Victoria
> > > > > Registered User #548600 (LinuxCounter.net)
> > > > > _______________________________________________
> > > > > CentOS-es mailing list
> > > > > CentOS-es en centos.org
> > > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > *Wilmer Arambula. *
> > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> > > > Venezuela.*
> > > > *
> > > > *
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > > _______________________________________________
> > > > CentOS-es mailing list
> > > > CentOS-es en centos.org
> > > > http://lists.centos.org/mailman/listinfo/centos-es
> > > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> *Wilmer Arambula. *
> *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> Venezuela.*
> *
> Representante Para Venezuela.*
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 

--
Elio Bastias
Project Manager

EM-C&IT |Open Source Innovation | Open Source Communications
Estrategia y Management en Comunicaciones e Infraestructurade IT

AMBIENTE.-

Más información sobre la lista de distribución CentOS-es