Ataques

Imagen de dsierra

Forums: 

Hola comunidad, estaba revisando mis logs y estoy viendo que alguien se quiere meter a mi server, esta haciendo un ataque de diccionario buscando un usuario para ingresar, veo que al menos ha hecho unos 100 intentos pero no ha logrado entrar, mis políticas de ssh son un poquito agresivas al respecto, pero quiero saber si puedo de alguna forma que las ips de mi atacante ya no tengan acceso a mi ip, hay alguna manera? busque la ip del hacker y la encontre en algunas black lists aparte de registrarlo ahi, que mas puedo hacer? agradezco cualqueir ayuda ;)

Una opinion, cualquier

Imagen de falcom

Una opinion, cualquier atacante siempre trabaja desde lugares publicos por lo que el bloquear la ip del atacante no te dara la solucion, mi recomendacion es q tu iptables lo tengas con politicas de DROP por default unicamente abriendo el pto del web server.
Salu2
PD: podes usar varias herramientas de scaneo para x lo menos ver de q pais es el atacante y si mantiene la ip.. pues hacerle lo mismo mandale un scanner de ptos y empieza x alli.

hay varias cosas que puedes

Imagen de amanuense

hay varias cosas que puedes hacer, comenzando con iptables, una posible solucion si normalmente accedes por ssh desde un solo equipo con ip fija o varios equipos en una misma subred entonces la pareja host.allow y host.deny pueden ser bastante utiles...

checa esto
http://www.ecualug.org/?q=2006/01/25/forums/funcion_o_caracteristica_de_hosts_allow

claro tendras que hacer algo mas complejo pero no es tan dificl encontrar informacion.

--

Alguna vez intente cambiar al mundo... pero Dios no me quiso dar el codigo fuente

--

Alguna vez intente cambiar al mundo... pero Dios no me quiso dar el codigo fuente

Si lo usas

Imagen de pepo

Supongo que usas el acceso SSH desde fuera de tu red, caso contrario no deberías tenerlo escuchando en Internet; para bloquear intentos de acceso ilegal puedes usar fail2ban (como te dice deathUser) pero también puedes usar unicamente iptables y un timeout.

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
ICQ : 337889406
GnuPG-key : www.keyserver.net

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net

Soy un poco paranóico al

Imagen de jcyepez

Soy un poco paranóico al rspecto de el ingreso por ssh, así que no permito que el root pueda ingresar directamente al equipo, sino que debe ingresar como un usuario del sistema y luego este obtener el root. Segundo mediante iptables, deniego el acceso al puerto 22 para cualquier IP a axepcion de la de mi máquina. Para el caso de los equipos que requiero acceder por internet solo habilito que permita el ingreso a mi ip publica.

Otra solución es implementar el port-knocking, lo tengo funcionando en algunos de mis servidores, claro que lleva un rato levantarlo pero luego funciona sin inconvenientes.

Saludos

Juan Yépez
093681879

Saludos

Juan Yépez
0993681879
Dj - Discomovil Quito

Todas las recomendaciones

Imagen de damage

Todas las recomendaciones son muy buenas, pero personalmente uso iptables + host.allow y host.deny, son poderosa combinaciòn

Keep The Fire Burning.....
Stryper 1988

Aparte de las

Imagen de acl

Aparte de las recomendaciones anteriores, otra cosa que se suele hacer es cambiar el nombre de root por alguna otra cosa en /etc/passwd.
--
haber != a ver
ha != a

Páginas