Ataque

Gustavo Maher tavitux en yahoo.com.ar
Sab Jun 19 14:56:33 BST 2010 

El sáb, 19-06-2010 a las 01:52 -0500, Gonzalo L. Campos Medina escribió:
> El 18/06/10, Gama <edgarhdez0 en gmail.com> escribió:
> > Hola, en donde laboro, estamos teniendo un ataque desde esta
> > ip 201.65.116.10, esta tratando de autenticarse con algun usuario, que hasta
> > ahora no ha logrado tener exito, y pues la verdad necesito alguna manera de
> > contrarestar esos, ataques hasta ahora no han tenido ningun fruto pero mejor
> > estar prevenidos he estado con el nmap y me ha arrojado los siguientes
> > datos.
> >
> > Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-18 17:49 CDT
> > Interesting ports on 201.65.116.10:
> > Not shown: 992 closed ports
> > PORT     STATE    SERVICE
> > 22/tcp   open     ssh
> > 25/tcp   filtered smtp
> > 80/tcp   open     http
> > 111/tcp  open     rpcbind
> > 1086/tcp filtered unknown
> > 2000/tcp open     callbook
> > 3306/tcp open     mysql
> > 4445/tcp open     unknown
> > Device type: general purpose|WAP|switch|specialized|print server|broadband
> > router|remote management
> > Running (JUST GUESSING) : Linux 2.6.X (96%), Netgear embedded (92%),
> > Actiontec Linux 2.4.X (92%), HP embedded (92%), Linksys embedded (92%),
> > Google embedded (92%), AVM embedded (91%), Dell embedded (91%)
> > Aggressive OS guesses: Linux 2.6.9 - 2.6.24 (96%), Linux 2.6.15 - 2.6.26
> > (95%), Linux 2.6.20 (Ubuntu 7.04 server, x86) (94%), Linux 2.6.15 (Ubuntu)
> > (94%), Linux 2.6.18 - 2.6.26 (92%), Netgear DG834PN RangeMax wireless
> > broadband router (92%), Linux 2.6.18 (OSSIM) (92%), HP Brocade 4100 switch;
> > or Actiontec MI-424-WR, Linksys WRVS4400N, or Netgear WNR834B wireless
> > broadband router (92%), Google Mini search appliance (92%), HP 4200 PSA
> > (Print Server Appliance) model J4117A (92%)
> > No exact OS matches for host (test conditions non-ideal).
> > Network Distance: 14 hops
> >
> > OS detection performed. Please report any incorrect results at
> > http://nmap.org/submit/ .
> > Nmap done: 1 IP address (1 host up) scanned in 139.65 seconds
> >
> > Y me gustaria me apoyaran para poder, darle en la torre, claro por lo que se
> > lee esta usando una aplicacion de ubuntu.
> >
> > Otra cosa existe alguna aplicacion, o de que manera puede ver desde que ip
> > se esta intentando conectar a mi servidor, claro queda grabado los usuarios,
> > con los que se estan intentando conectar, no asi la ip de donde lo estan
> > intentando.
> >
> > Saludos
> >
> 
> --
> 
> Algo básico es empezar por cambiar en tu configuración el puerto 22 a
> cualquier otro puerto (de 4 dígitos cuando menos, por ejemplo al
> puerto 1234).  E instala fail2ban que bloqueará a todo aquel que tenga
> intentos fallidos de loguearse remotamente.
> 
> Un sysadmin no debe dejar las configuraciones por defecto en equipo
> que da hacia internet, pues estas configuraciones son detectadas
> fácilmente.
> 
> Saludos
> -- 
> Gonzalo L. Campos Medina
> http://www.ubuntu.com | http://www.ubuntu-es.org | http://www.ubuntu-pe.org
> L.R.U. #344192 | U.R.U. #161
> Freenode #ubuntu-es #edubuntu-es #ubuntu-pe
> 

Hola Gonzalo, como estas?

En estos casos yo uso iptables como firewall.

Te armé un script, deberías ejecutarlo al inicio del sistema, y luego
podes ir editandolo y agregando maquinas molestas al mismo.
Copias el siguiente contenido a un archivo y le das permisos de
ejecución.

#!/bin/bash
clear
echo
echo Starting Firewall...
echo
/sbin/iptables -F
# Deniego todo tipo de conexion desde estos hosts.
/sbin/iptables -A INPUT -s 201.65.116.10 -d 0.0.0.0/0 -j DROP
/sbin/iptables -L -n

Espero que te sirva, cualquier cosita, cosultá!

Suerte, Gustavo.-

Más información sobre la lista de distribución ubuntu-es