Ataques costantes!

kapachov · #1 (**permalink**) 06/04/2006, 07:55

Holas...

Bueno el problema que estoy teniendo es que todos los dias en mi "/var/log/secure" tengo un monton de intentos de accesos por SSH no permitidos! ;
de momento parece ser que no ha entrado nadie a la maquina,
como creo saberlo, tengo el rkhunter y chkrootkit;
Y ninguno de los 2 me dice nada.

He deshabilitado el acceso de root por SSH.

Pero quisiera saber si alguna forma de reportar esto a algun sitio desde el cual se les llame la atencion a estar personas,
he mirado las IP y pues parecen ser dinamicas, y algunas parecen que las falsean.

Alguna sugerencia!?

-Defero- · #2 (**permalink**) 06/04/2006, 08:35

Si tienes la IP puedes averiguar cuál es su ISP, y no estaría de más ponerte en contacto con ellos, ya que aunque a ti no te lo van a decir, seguro que tienen medios para saber qué usuario tenía esa IP en el momento de los ataques, y a lo mejor hasta se molestan en darle un aviso.

Lo malo (y previsible) sería que hayan utilizado como pasarela el PC de algún usuario incauto, con lo cual les pierdes la pista.

||Dj|| · #3 (**permalink**) 06/04/2006, 08:40

Cual es el criterio que utilizas para catalogar de ataques a esos intentos de conexión?

ociomax · #4 (**permalink**) 06/04/2006, 08:47

Para prevenir ataques futuros, tal vez te interese esto: http://denyhosts.sourceforge.net/

kapachov · #5 (**permalink**) 06/04/2006, 10:02

Holas a todos...

Y gracias por las respuestas.

Bueno el criterio que uso para catalogar de ataque estos intentos de conexion, es que todos los dias tengo muchos intentos

...

posteo algunas de las lineas que me salen :

--
Invalid user frank from ::ffff:62.254.183.162
Address 62.254.183.162 maps to mysi.co.uk, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Invalid user wap from ::ffff:66.161.95.147
Failed password for invalid user wap from ::ffff:66.161.95.147 port 44988 ssh2
--

cada linea multiplicala por 100 o algo asi, ademas son usuarios que no existen en el servidor.

Lo de que tengo la IP es cierto pero al darle un whois me sale lo siguiente :

--
[Preguntando whois.apnic.net]
[No se puede conectar al anfitrión remoto]
--

He hecho lo siguiente :

He cogido todos mis logs secure, he cogido las IP y he hecho un whois, dig, nmap; para tener un poco de informacion pero los resultados han sido infructuosos...

Como he mencionado anteriormente He deshabilitado la conexion via SSH a root, ademas que tengo IPTABLES para que solo me deje conectar desde sitios seguros (IP conexiones).

Si no hay forma de identificar la IP o ISP que se puede hacer!?

con lo que tengo ahora mismo montado me bastaria?

ociomax · #6 (**permalink**) 06/04/2006, 11:16

Cita:

Iniciado por kapachov

(...) Si no hay forma de identificar la IP o ISP que se puede hacer!? (...)

Puedes hacer lo que te acabo de indicar: instala denyhosts y configúralo correctamente.

-Defero- · #7 (**permalink**) 06/04/2006, 15:58

Cita:

Iniciado por kapachov

(...) Lo de que tengo la IP es cierto pero al darle un whois me sale lo siguiente :

--
[Preguntando whois.apnic.net]
[No se puede conectar al anfitrión remoto] (...)

Tal vez te interese lo que comentan por aquí.

sir_notos · #8 (**permalink**) 06/04/2006, 16:11

tal vez te interese instalar Port-knocking es un sistema simple pero que parece bastante seguro

Saludos

Koveart · #9 (**permalink**) 06/04/2006, 16:24

QUe cantidad de informacion de seguridad peude aparecer en unso segundos mediante algun post relacionado con la seguridad.

Saludos

kapachov · #10 (**permalink**) 07/04/2006, 03:29

Holas...

Bueno muchas gracias por los consejos, tratare de aplicarlos

...

Saludos...