Foros del Web » Administración de Sistemas » Unix / Linux »

Ataques costantes!

Estas en el tema de Ataques costantes! en el foro de Unix / Linux en Foros del Web. Holas... Bueno el problema que estoy teniendo es que todos los dias en mi "/var/log/secure" tengo un monton de intentos de accesos por SSH no ...
  #1 (permalink)  
Antiguo 06/04/2006, 07:55
Avatar de kapachov  
Fecha de Ingreso: diciembre-2002
Ubicación: Loeches
Mensajes: 464
Antigüedad: 21 años, 11 meses
Puntos: 0
Ataques costantes!

Holas...

Bueno el problema que estoy teniendo es que todos los dias en mi "/var/log/secure" tengo un monton de intentos de accesos por SSH no permitidos! ;
de momento parece ser que no ha entrado nadie a la maquina,
como creo saberlo, tengo el rkhunter y chkrootkit;
Y ninguno de los 2 me dice nada.

He deshabilitado el acceso de root por SSH.

Pero quisiera saber si alguna forma de reportar esto a algun sitio desde el cual se les llame la atencion a estar personas,
he mirado las IP y pues parecen ser dinamicas, y algunas parecen que las falsean.

Alguna sugerencia!?
__________________
Siempre hago lo que quiero...
Aunque no quiera...
  #2 (permalink)  
Antiguo 06/04/2006, 08:35
Avatar de -Defero-
Colaborador
 
Fecha de Ingreso: julio-2004
Ubicación: Guipúzcoa
Mensajes: 4.776
Antigüedad: 20 años, 4 meses
Puntos: 76
Si tienes la IP puedes averiguar cuál es su ISP, y no estaría de más ponerte en contacto con ellos, ya que aunque a ti no te lo van a decir, seguro que tienen medios para saber qué usuario tenía esa IP en el momento de los ataques, y a lo mejor hasta se molestan en darle un aviso.

Lo malo (y previsible) sería que hayan utilizado como pasarela el PC de algún usuario incauto, con lo cual les pierdes la pista.
__________________
abogado en Errenteria + procuradora en San Sebastián = equipo imparable
  #3 (permalink)  
Antiguo 06/04/2006, 08:40
Avatar de ||Dj||  
Fecha de Ingreso: enero-2002
Mensajes: 2.349
Antigüedad: 22 años, 10 meses
Puntos: 1
Cual es el criterio que utilizas para catalogar de ataques a esos intentos de conexión?
  #4 (permalink)  
Antiguo 06/04/2006, 08:47
Avatar de ociomax
Colaborador
 
Fecha de Ingreso: mayo-2002
Ubicación: Temuco, Chile
Mensajes: 5.595
Antigüedad: 22 años, 5 meses
Puntos: 35
Para prevenir ataques futuros, tal vez te interese esto: http://denyhosts.sourceforge.net/
__________________
Christian González, "OCIOMax"
http://chgonzalez.blogspot.com
http://twitter.com/chgonzalez
  #5 (permalink)  
Antiguo 06/04/2006, 10:02
Avatar de kapachov  
Fecha de Ingreso: diciembre-2002
Ubicación: Loeches
Mensajes: 464
Antigüedad: 21 años, 11 meses
Puntos: 0
Holas a todos...

Y gracias por las respuestas.

Bueno el criterio que uso para catalogar de ataque estos intentos de conexion, es que todos los dias tengo muchos intentos ...

posteo algunas de las lineas que me salen :

--
Invalid user frank from ::ffff:62.254.183.162
Address 62.254.183.162 maps to mysi.co.uk, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Invalid user wap from ::ffff:66.161.95.147
Failed password for invalid user wap from ::ffff:66.161.95.147 port 44988 ssh2
--

cada linea multiplicala por 100 o algo asi, ademas son usuarios que no existen en el servidor.


Lo de que tengo la IP es cierto pero al darle un whois me sale lo siguiente :

--
[Preguntando whois.apnic.net]
[No se puede conectar al anfitrión remoto]
--

He hecho lo siguiente :

He cogido todos mis logs secure, he cogido las IP y he hecho un whois, dig, nmap; para tener un poco de informacion pero los resultados han sido infructuosos...

Como he mencionado anteriormente He deshabilitado la conexion via SSH a root, ademas que tengo IPTABLES para que solo me deje conectar desde sitios seguros (IP conexiones).

Si no hay forma de identificar la IP o ISP que se puede hacer!?

con lo que tengo ahora mismo montado me bastaria?
__________________
Siempre hago lo que quiero...
Aunque no quiera...
  #6 (permalink)  
Antiguo 06/04/2006, 11:16
Avatar de ociomax
Colaborador
 
Fecha de Ingreso: mayo-2002
Ubicación: Temuco, Chile
Mensajes: 5.595
Antigüedad: 22 años, 5 meses
Puntos: 35
Cita:
Iniciado por kapachov
(...) Si no hay forma de identificar la IP o ISP que se puede hacer!? (...)
Puedes hacer lo que te acabo de indicar: instala denyhosts y configúralo correctamente.
__________________
Christian González, "OCIOMax"
http://chgonzalez.blogspot.com
http://twitter.com/chgonzalez
  #7 (permalink)  
Antiguo 06/04/2006, 15:58
Avatar de -Defero-
Colaborador
 
Fecha de Ingreso: julio-2004
Ubicación: Guipúzcoa
Mensajes: 4.776
Antigüedad: 20 años, 4 meses
Puntos: 76
Cita:
Iniciado por kapachov
(...) Lo de que tengo la IP es cierto pero al darle un whois me sale lo siguiente :

--
[Preguntando whois.apnic.net]
[No se puede conectar al anfitrión remoto] (...)
Tal vez te interese lo que comentan por aquí.
__________________
abogado en Errenteria + procuradora en San Sebastián = equipo imparable
  #8 (permalink)  
Antiguo 06/04/2006, 16:11
Avatar de sir_notos  
Fecha de Ingreso: noviembre-2001
Ubicación: Mexicali
Mensajes: 709
Antigüedad: 23 años
Puntos: 1
tal vez te interese instalar Port-knocking es un sistema simple pero que parece bastante seguro

Saludos
__________________
Usuario Registrado de linux #374849
  #9 (permalink)  
Antiguo 06/04/2006, 16:24
Avatar de Koveart
Colaborador
 
Fecha de Ingreso: julio-2002
Ubicación: Colombia
Mensajes: 4.407
Antigüedad: 22 años, 3 meses
Puntos: 29
QUe cantidad de informacion de seguridad peude aparecer en unso segundos mediante algun post relacionado con la seguridad.

Saludos
__________________
“Los soñadores no existen, se lo dice un soñador que ha tenido el privilegio de ver realidades que ni siquiera fue capaz de soñar”
  #10 (permalink)  
Antiguo 07/04/2006, 03:29
Avatar de kapachov  
Fecha de Ingreso: diciembre-2002
Ubicación: Loeches
Mensajes: 464
Antigüedad: 21 años, 11 meses
Puntos: 0
Holas...

Bueno muchas gracias por los consejos, tratare de aplicarlos ...

Saludos...
__________________
Siempre hago lo que quiero...
Aunque no quiera...
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:04.