Posible ataque

Imagen de Willan

Enviado por Willan en

Forums: 

Hola a todos, tengo una inquietud, ultimamente estoy viendo en el log de mi servidor, mensajes de posibles ataques. Cual seria la mejor forma de controlar este asunto y como puedo saber quien es el posible atacante.

A continuacion muestro algunos logs.

1 User Unknown notifications

WARNING!!!!
Possible Attack:
Attempt from 114-44-139-144.dynamic.hinet.net [114.44.139.144] with:
command=AUTH, count=6 : 1 Time(s)

Client quit before communicating:
114.44.139.144 : 1 Time(s)
118.168.102.30 : 1 Time(s)
124.8.80.149 : 2 Time(s)
219.84.60.22 : 1 Time(s)
72.9.146.26 : 2 Time(s)

BlackHole Totals:
njabl.org: 1 Time(s)

Gracias por sus comentarios

Al parecer ese mensaje de

Al parecer ese mensaje de log es de conexiones hacia tu server via ssh desde la ip 114.44.139.144 , si tu server está con una ip pública esto lo vas ha tener todo el tiempo, es recomendable que pongas un buen password en root para que no logren pasar.
También podrias instalar snort para configurar que este realize alguna acción en cada intento de conexion hacia tu server por parte de ips que no sean de tu red.

Saludos,

Pues la logica recomendacion

Enviado por falcom en

Imagen de falcom

Pues la logica recomendacion inicial y de panico, desconecta tu server de internet (si ya compruebas q mismo es un ataque como supones)
luego el 2do paso inicial q yo haria seria rehacer mi firewall o script con politicas DROP x defecto unicamente dejando el puerto 80 de navegacion http o mejor dicho hasta ese lo cambiaria y lo pondria en otro tanto en iptables como en apache
luego si conectaria de nuevo mi server y a utilizar herramientas de monitoreo de logs como una muy buena q se llama sawmil

********
Salu2 and Have Fun

Tambien puedes cambiar el

Enviado por Ascii en

Imagen de Ascii

Tambien puedes cambiar el puerto que use tu SSH ponle algun puerto arbitrario que no utilize ninguna aplicacion en el rango 10000-60000 . Despues de eso puedes poner un firewall para dicho puerto que solo admita tu conexiones.

aqui el listado de puertos usados por aplicaciones
http://en.wikipedia.org/wiki/List_of_well-known_ports_(computing)

saludos

Otra opción menos complicad

Enviado por damage en

Imagen de damage

Otra opción menos complicad es usar hosts.allow, hosts.deny ambos esta dentro del directorio /etc/:

vi /etc/hosts.allow

sshd:aqui.va.tu.ip.publica
sshd:ip.quieras.dar.acceso

Luego guardas los cambios, par luego editar:

vi /etc/hosts.deny
ingresas esto:
ALL:ALL

Y eso es todo, recomiendo hacerlo en conjunto con reglas de iptables para filtado de ssh y cambiando el puerto de escucha del sshd como recomiendan :) :cool.

Saludos

Keep The Fire Burning.....
Stryper 1988

Pues para saber quien es el

Enviado por deathUser en

Imagen de deathUser

Pues para saber quien es el posible atacante, síguele la pista al host que originó el ataque, puedes usar arin o el whois de la red que amerite.

Para evitar ese tipo de ataques, puedes bloquear todos los servicios que no quieras que sean públicos, y si es del caso usar herramientas como fail2ban (busca en el foro, se ha hablado de algunas de ese tipo)

Suerte ...

bye
:)

el ataque es a ssh o a

Enviado por Epe en

Imagen de Epe

el ataque es a ssh o a saslauthd? en todo caso puedes y debes bloquear todos los peurtos que no sean de uso público, pero los que sean publicos seguirán siendo atacados.

Puedes tomar medidas como poner claves más fuertes... o poner restricciones de cantidad de acceso en un determinado tiempo.. ayudan

Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre