Evitar ataque

Imagen de juank6_66

Tema: 

Saludos ... revisando logs del sistema puedo ver que esta ip 217.57.152.195 61.132.5.70 tratan de acceder por medio de sshd usando nombres de usuario distintos..como se denomida a este tipo de ataque y como podria anular esas ips totalmente para que piensen que mi pc esta apagada o enviar algun mensaje de error... GRACIAS POR SUS RECOMENDACIONES

Aug 12 01:02:47 asontel sshd[5259]: Failed password for root from ::ffff:61.132.5.70 port 40891 ssh2
Aug 12 01:02:47 asontel sshd[5259]: Received disconnect from ::ffff:61.132.5.70: 11: Bye Bye
Aug 11 20:02:53 asontel sshd[5260]: Failed password for root from ::ffff:61.132.5.70 port 41381 ssh2
Aug 12 01:02:53 asontel sshd[5261]: Failed password for root from ::ffff:61.132.5.70 port 41381 ssh2
Aug 12 01:02:53 asontel sshd[5261]: Received disconnect from ::ffff:61.132.5.70: 11: Bye Bye
Aug 11 20:02:59 asontel sshd[5262]: Failed password for root from ::ffff:61.132.5.70 port 41913 ssh2
Aug 12 01:02:59 asontel sshd[5263]: Failed password for root from ::ffff:61.132.5.70 port 41913 ssh2
Aug 12 01:03:00 asontel sshd[5263]: Received disconnect from ::ffff:61.132.5.70: 11: Bye Bye
Aug 11 20:03:05 asontel sshd[5264]: Failed password for root from ::ffff:61.132.5.70 port 42435 ssh2
Aug 12 01:03:05 asontel sshd[5265]: Failed password for root from ::ffff:61.132.5.70 port 42435 ssh2
Aug 12 01:03:06 asontel sshd[5265]: Received disconnect from ::ffff:61.132.5.70: 11: Bye Bye
Aug 11 20:03:11 asontel sshd[5266]: Failed password for root from ::ffff:61.132.5.70 port 42963 ssh2
Aug 12 01:03:11 asontel sshd[5267]: Failed password for root from ::ffff:61.132.5.70 port 42963 ssh2
Aug 12 01:03:12 asontel sshd[5267]: Received disconnect from ::ffff:61.132.5.70: 11: Bye Bye
Aug 11 20:03:17 asontel sshd[5268]: Failed password for root from ::ffff:61.132.5.70 port 43528 ssh2
Aug 12 01:03:17 asontel sshd[5269]: Failed password for root from ::ffff:61.132.5.70 port 43528 ssh2
Aug 12 01:03:18 asontel sshd[5269]: Received disconnect from ::ffff:61.132.5.70: 11: Bye Bye
Aug 11 20:03:28 asontel sshd[5270]: Failed password for root from ::ffff:61.132.5.70 port 44087 ssh2
Aug 12 01:03:28 asontel sshd[5271]: Failed password for root from ::ffff:61.132.5.70 port 44087 ssh2
Aug 12 01:03:28 asontel sshd[5271]: Connection closed by ::ffff:61.132.5.70

ug 14 09:09:37 asontel sshd[7045]: Failed password for nobody from ::ffff:222.177.15.88 port 35385 ssh2
Aug 14 14:09:37 asontel sshd[7046]: Failed password for nobody from ::ffff:222.177.15.88 port 35385 ssh2
Aug 14 14:09:38 asontel sshd[7046]: Connection closed by ::ffff:222.177.15.88
Aug 14 09:10:56 asontel sshd[7049]: Invalid user raimundo from ::ffff:217.57.152.195
Aug 14 14:10:56 asontel sshd[7050]: input_userauth_request: invalid user raimundo
Aug 14 09:11:00 asontel sshd[7049]: Failed password for invalid user raimundo from ::ffff:217.57.152.195 port 33368 ssh2
Aug 14 14:11:00 asontel sshd[7050]: Failed password for invalid user raimundo from ::ffff:217.57.152.195 port 33368 ssh2
Aug 14 14:11:00 asontel sshd[7050]: Received disconnect from ::ffff:217.57.152.195: 11: Bye Bye
Aug 14 09:11:03 asontel sshd[7051]: Invalid user joan from ::ffff:217.57.152.195
Aug 14 14:11:03 asontel sshd[7052]: input_userauth_request: invalid user joan
Aug 14 09:11:06 asontel sshd[7051]: Failed password for invalid user joan from ::ffff:217.57.152.195 port 33679 ssh2
Aug 14 14:11:06 asontel sshd[7052]: Failed password for invalid user joan from ::ffff:217.57.152.195 port 33679 ssh2
Aug 14 14:11:06 asontel sshd[7052]: Received disconnect from ::ffff:217.57.152.195: 11: Bye Bye
Aug 14 09:11:09 asontel sshd[7053]: Invalid user johan from ::ffff:217.57.152.195
Aug 14 14:11:09 asontel sshd[7054]: input_userauth_request: invalid user johan
Aug 14 09:11:12 asontel sshd[7053]: Failed password for invalid user johan from ::ffff:217.57.152.195 port 33907 ssh2
Aug 14 14:11:12 asontel sshd[7054]: Failed password for invalid user johan from ::ffff:217.57.152.195 port 33907 ssh2
Aug 14 14:11:12 asontel sshd[7054]: Received disconnect from ::ffff:217.57.152.195: 11: Bye Bye
Aug 14 09:11:15 asontel sshd[7055]: Invalid user sebastian from ::ffff:217.57.152.195
Aug 14 14:11:15 asontel sshd[7056]: input_userauth_request: invalid user sebastian

Comentarios

Se llama ataque de

Imagen de acl

Se llama ataque de diccionario (porque el atacante tiene una lista que traversa una por una hasta encontrar alguna coincidencia). No es fuerza bruta porque no trata cada probabilidad, pero es similar.

Simplemente haz que el kernel bote el paquete al suelo con -j DROP en iptables. Puedes hacerlo contra todo el internet o solo contra las ips que te estan atacando. Tambien alguien publico en algun momento un utilitario que agrega la regla de DROP luego de que suceden ciertos criterios que puedes definir. No me acuerdo quien...

Quejate

Imagen de pepo

Como te ha comentado están tratando de acceder probando pares de posibles accesos.

Si es que necesitas ofrecer SSH para acceso desde Internet entonces filtra los paquetes de las IP origen que podrías estar ocupando, caso contrario no ofrezcas eso.

Por lo de los scriptkiddies, puedes usar herramientas como ping, traceroute, nslookup. Por ejemplo revisando la IP 217.57.152.195 veo que es de Trento-Italia, luego hago un whois y obtengo el ISP (que está en Italia) entonces con el correo que ofrecen, pues les mandas un aviso.

Puede que ellos también sean victimas pero con eso deberían cerrar ese agujero.

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
ICQ : 337889406
GnuPG-key : www.keyserver.net

------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net

también se llaman ataques

Imagen de Epe

también se llaman ataques de [url=http://www.bibliotecasvirtuales.com/biblioteca/literaturainfantil/cuentosclasicos/rumpelstikin.asp]rumpelstikin[/url], filtrando el quién puede acceder a tu puerto 22 puedes solucionarlos totalmente..

además, puedes poner que el sistema obligue la entrada con otro usuario que no sea root (se llama PermitRootLogin no) y así el atacante pasará mucho más trabajo para entrar.

La otra es apagar la máquina, así te garantizo que no entrarán.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

te recomiendo que uses

Imagen de devilsoulblack

te recomiendo que uses DenyHosts http://denyhosts.sourceforge.net/
® { No HopE & No FeaR } ®
Be part of the change, because We are the change..
Projects:
Orenses.org: http://www.orenses.org
DeVilSoulBlacK WebLog: http://www.devilsoulblack.com
Your Daily News On The Web: http://www.bitsofnews.net

® { No HopE & No FeaR } ®
Be part of the change, because We are the change..
Projects:
Orenses.org: http://www.orenses.org