Foros del Web » Administración de Sistemas » Unix / Linux »

Ataques a SSH

Estas en el tema de Ataques a SSH en el foro de Unix / Linux en Foros del Web. Hola buenos dias. disculpen que moleste nuevamente. mi problema es el siguiente: revisando los log de SSH (secure) y los log de correo especificamente, he ...
  #1 (permalink)  
Antiguo 23/08/2007, 07:07
 
Fecha de Ingreso: septiembre-2006
Mensajes: 31
Antigüedad: 18 años, 3 meses
Puntos: 0
Ataques a SSH

Hola buenos dias. disculpen que moleste nuevamente.

mi problema es el siguiente: revisando los log de SSH (secure) y los log de correo especificamente, he notado que reiteradamente algunas IP que desconozco hacen muchos intentos de conexion por fuerza bruta a mi servidor, colocando usuarios que no existen en el sistema.

en IPtables tengo establecidas ya unas reglas para abrir los puertos con los cuales yo necesito trabajar, pero me gustaria agregar una regla que vaya bloqueando esas IP's que intentan conectarse reiteradamente a SSH tras x intentos de conexion.

he buscado y encontrado algunas reglas, pero no he logrado los resultados que yo esperaba.

me gustaria saber si alguien conoce alguna pagina o foro en donde pueda encontrar lo que busco especificamente, o si es posible, entregar un codigo para tratar de implementarlo.

de antemano, gracias.

salu2
  #2 (permalink)  
Antiguo 23/08/2007, 09:33
Avatar de monoswim
$moderador{'Esteban'}
 
Fecha de Ingreso: febrero-2002
Ubicación: Buenos Aires - Argentina
Mensajes: 8.762
Antigüedad: 22 años, 10 meses
Puntos: 90
Re: Ataques a SSH

Siempre el SSH tiene esos problemas y cambian la IP constantemente usando proxys, lo que tienes que hacer es cambiar el puerto por cual te conectas al SSH y listo...

Espero que te sirva

Saludos
PD: Si efectivamente quieres bloquear la IP por iptables en la documentación oficial de centos te dice como hacerlo...Me imagino que será igual en todos los linux...
__________________
Esteban Quintana
  #3 (permalink)  
Antiguo 23/08/2007, 09:50
 
Fecha de Ingreso: septiembre-2006
Mensajes: 31
Antigüedad: 18 años, 3 meses
Puntos: 0
Re: Ataques a SSH

Cita:
Iniciado por monoswim Ver Mensaje
Siempre el SSH tiene esos problemas y cambian la IP constantemente usando proxys, lo que tienes que hacer es cambiar el puerto por cual te conectas al SSH y listo...

Espero que te sirva

Saludos
PD: Si efectivamente quieres bloquear la IP por iptables en la documentación oficial de centos te dice como hacerlo...Me imagino que será igual en todos los linux...

Hola, gracias por tu respuesta.

el cambiar el puerto, yo creo que con el pasar del tiempo igual voy a tener los mismos ataques...o no?


salu2
  #4 (permalink)  
Antiguo 23/08/2007, 11:06
Avatar de monoswim
$moderador{'Esteban'}
 
Fecha de Ingreso: febrero-2002
Ubicación: Buenos Aires - Argentina
Mensajes: 8.762
Antigüedad: 22 años, 10 meses
Puntos: 90
Re: Ataques a SSH

no te creas, porque tendrían que hacer un rastreo por los 65.000 puertos que hay disponibles...

y además te puedes instalar un soft contra los rastreos de puertos

Saludos
PD: Yo lo cambié hace meses y nunca tuve nuevamente ese problema...
__________________
Esteban Quintana
  #5 (permalink)  
Antiguo 23/08/2007, 12:50
 
Fecha de Ingreso: septiembre-2006
Mensajes: 31
Antigüedad: 18 años, 3 meses
Puntos: 0
Re: Ataques a SSH

Cita:
Iniciado por monoswim Ver Mensaje
no te creas, porque tendrían que hacer un rastreo por los 65.000 puertos que hay disponibles...

y además te puedes instalar un soft contra los rastreos de puertos

Saludos
PD: Yo lo cambié hace meses y nunca tuve nuevamente ese problema...
ok gracias.

ese software del cual me hablas, cual es?...para instalarlo....pero sirve para utilizarlo en un servidor CentOS 4.5 sin entorno grafico??


salu2
  #6 (permalink)  
Antiguo 23/08/2007, 13:55
Avatar de Koveart
Colaborador
 
Fecha de Ingreso: julio-2002
Ubicación: Colombia
Mensajes: 4.407
Antigüedad: 22 años, 5 meses
Puntos: 29
Re: Ataques a SSH

La verdad para mi lo mejor a la hora de hacer una protección de esas es crear un TCP wrapper, es decir que bloqueas cualquier intento de conexión al protocolo que tú le digas a la máquina en el archivo /etc/hosts.allow y /etc/hosts.deny. Investiga sobre eso, es muy interesante y útil.

Cualquiera que quiera hacer una petición al protocolo en cuestión se le negará sencillamente porque está bloqueado. Te dejo la tarea.

Saludos
__________________
“Los soñadores no existen, se lo dice un soñador que ha tenido el privilegio de ver realidades que ni siquiera fue capaz de soñar”
  #7 (permalink)  
Antiguo 23/08/2007, 15:12
Avatar de ociomax
Colaborador
 
Fecha de Ingreso: mayo-2002
Ubicación: Temuco, Chile
Mensajes: 5.595
Antigüedad: 22 años, 6 meses
Puntos: 35
Re: Ataques a SSH

Hay programas (como denyhosts o fail2ban) que hacen lo que estás buscando.
__________________
Christian González, "OCIOMax"
http://chgonzalez.blogspot.com
http://twitter.com/chgonzalez
  #8 (permalink)  
Antiguo 24/08/2007, 06:47
 
Fecha de Ingreso: septiembre-2006
Mensajes: 31
Antigüedad: 18 años, 3 meses
Puntos: 0
Re: Ataques a SSH

gracias por sus respuestas. investigare mas al respecto del host.allow y host.deny

me gustaria saber si los 2 programas que menciona ociomax, aparte de dar proteccion a SSH me pueden brindar proteccion a ataques al servidor de correo u otra aplicacion, mysql, apache, etc.


salu2
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 19:37.