Intentan acceder por SSH

frank123 · #1 (**permalink**) 04/01/2006, 15:07

Hola a todos.

Desde hace unos dias me vienen apareciendo en los logs del servidor SSh entradas de este tipo

Failed password for invalid user travel_phpb1 from xx.xx.xx.xx port 43010 ssh2
Invalid user info from xx.xx.xx.xx

a razon de una por segundo mas o menos. cada cierto tiempo varian los usuarios ,las contraseñas y las IP. me imagino que estan intentado averiguar la contraseña a base de pruebas.

Me gustaria saber si existe alguna manera de por ejemplo, cuando haga tres intentos bloquee la IP, o alguna funcion como tiene Webmin que solamente te puedes conectar desde la IP que le indicas. El servidor es OpenSSH_3.9 y solamente tengo activada la v2 de SSH

Un saludo y Gracias a todos

Datacenter1 · #2 (**permalink**) 04/01/2006, 18:44

Instala APF y BFD eso bastará para bloquear a todo el que falle más de x veces y ataques de diccionario de passwords.

Aquí tienes un tutorial http://www.webhostgear.com/60.html

Los paqutes pueden bajarse de: http://www.rfxnetworks.com

Apolo · #3 (**permalink**) 04/01/2006, 19:45

Cita:

Iniciado por frank123

a razon de una por segundo mas o menos. cada cierto tiempo varian los usuarios ,las contraseñas y las IP. me imagino que estan intentado averiguar la contraseña a base de pruebas.

Ese tipo de "ataques" ocurren todo el tiempo. Además de las recomendaciones que te ha brindado Guillermo, lo mejor es siempre tener una contraseña robusta, de 8 caracteres o más, y que incluya una combinación de letras minúsculas y mayúsculas, números y uno que otro punto.

(Hola Guillermo! Feliz 2006

)

Saludos,

Datacenter1 · #4 (**permalink**) 04/01/2006, 20:12

Cita:

Iniciado por Apolo

Ese tipo de "ataques" ocurren todo el tiempo. Además de las recomendaciones que te ha brindado Guillermo, lo mejor es siempre tener una contraseña robusta, de 8 caracteres o más, y que incluya una combinación de letras minúsculas y mayúsculas, números y uno que otro punto.

(Hola Guillermo! Feliz 2006

)

Saludos,

Es cierto lo que dice Apollo, recibimos varios de esos ataques por día, lamentablemente Internet se ha vuelto una jungla salvaje.

Algo muy util es un código como:

Código PHP:

   echo 'ALERTA - ACCESO ROOT DETECTADO :' `date` `who` | mail -s "Alerta: Acceso desde `who | awk '{print $6}'`" nombre@dominio.com

Colocado en el /root/.bash_profile eso te enviará un email cada vez que un usuario se loguee como root (si el ataque tiene éxito seguro quieres ser el primero en saberlo)

PD Feliz Año para ti también Apolo con muchos éxitos y prosperidad !!!

frank123 · #5 (**permalink**) 05/01/2006, 09:22

Hola

Gracias a todos por la pronta respuesta. Hace poco consiguieron entrar por ftp, y se ve que no les basto. Enseguida me pongo a echarle un vistazo a lo que me habeis comentado.

Un saludo y gracias

Datacenter1 · #6 (**permalink**) 05/01/2006, 09:39

BFD no solo te protegerá de el intento de penetración vía SSH sino tambien del FTP (o cualquier otro servicio que escriba en logs intentos fallidos)

Requiere algunos conocimientos en bash scripting pero nada excesivamente complicado. Tambien deberías considerar que solo desde tu ip este permitido el login vía ssh y deshabilitar el login directo de root

ZeldeA · #7 (**permalink**) 13/01/2006, 06:49

Otra cosa muy interesante y práctica es la de no permitir un acceso remoto como root, es decir que tenga que ser en la propia máquina, o bien acceder primero con un usuario normal y luego ascender con su- a root.