Forums:
Hola comunidad, estaba revisando mis logs y estoy viendo que alguien se quiere meter a mi server, esta haciendo un ataque de diccionario buscando un usuario para ingresar, veo que al menos ha hecho unos 100 intentos pero no ha logrado entrar, mis políticas de ssh son un poquito agresivas al respecto, pero quiero saber si puedo de alguna forma que las ips de mi atacante ya no tengan acceso a mi ip, hay alguna manera? busque la ip del hacker y la encontre en algunas black lists aparte de registrarlo ahi, que mas puedo hacer? agradezco cualqueir ayuda ;)
bloquea el puerto del ssh
con iptables solo dejalo abierto para tu red interna.
Puedes probar fail2ban bye
Puedes probar fail2ban
bye
:)
Por iptables puedes hacer un
Por iptables puedes hacer un DROP a cualquier tipo de conexión que quiera hacer la IP del atacante.
Saludos,
Una opinion, cualquier
Una opinion, cualquier atacante siempre trabaja desde lugares publicos por lo que el bloquear la ip del atacante no te dara la solucion, mi recomendacion es q tu iptables lo tengas con politicas de DROP por default unicamente abriendo el pto del web server.
Salu2
PD: podes usar varias herramientas de scaneo para x lo menos ver de q pais es el atacante y si mantiene la ip.. pues hacerle lo mismo mandale un scanner de ptos y empieza x alli.
hay varias cosas que puedes
hay varias cosas que puedes hacer, comenzando con iptables, una posible solucion si normalmente accedes por ssh desde un solo equipo con ip fija o varios equipos en una misma subred entonces la pareja host.allow y host.deny pueden ser bastante utiles...
checa esto
http://www.ecualug.org/?q=2006/01/25/forums/funcion_o_caracteristica_de_hosts_allow
claro tendras que hacer algo mas complejo pero no es tan dificl encontrar informacion.
--
Alguna vez intente cambiar al mundo... pero Dios no me quiso dar el codigo fuente
--
Alguna vez intente cambiar al mundo... pero Dios no me quiso dar el codigo fuente
Si lo usas
Supongo que usas el acceso SSH desde fuera de tu red, caso contrario no deberías tenerlo escuchando en Internet; para bloquear intentos de acceso ilegal puedes usar fail2ban (como te dice deathUser) pero también puedes usar unicamente iptables y un timeout.
------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
ICQ : 337889406
GnuPG-key : www.keyserver.net
------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net
Soy un poco paranóico al
Soy un poco paranóico al rspecto de el ingreso por ssh, así que no permito que el root pueda ingresar directamente al equipo, sino que debe ingresar como un usuario del sistema y luego este obtener el root. Segundo mediante iptables, deniego el acceso al puerto 22 para cualquier IP a axepcion de la de mi máquina. Para el caso de los equipos que requiero acceder por internet solo habilito que permita el ingreso a mi ip publica.
Otra solución es implementar el port-knocking, lo tengo funcionando en algunos de mis servidores, claro que lleva un rato levantarlo pero luego funciona sin inconvenientes.
Saludos
Juan Yépez
093681879
Saludos
Juan Yépez
0993681879
Dj - Discomovil Quito
Todas las recomendaciones
Todas las recomendaciones son muy buenas, pero personalmente uso iptables + host.allow y host.deny, son poderosa combinaciòn
Keep The Fire Burning.....
Stryper 1988
Aparte de las
Aparte de las recomendaciones anteriores, otra cosa que se suele hacer es cambiar el nombre de root por alguna otra cosa en /etc/passwd.
--
haber != a ver
ha != a
Esa es buena, alguna vez la
Esa es buena, alguna vez la vi pero no se me había ocurrio practicarla.
Saludos
Juan Yépez
093681879
Saludos
Juan Yépez
0993681879
Dj - Discomovil Quito
Páginas