[l-ubuntu-ve] Ataque a servidor

Nelson Delgado nejode en gmail.com
Dom Abr 12 15:56:51 BST 2009


Saludos a todos:

Solicito ayuda referente a un caso que me sucedió hoy.  Historia:

Me paro de madrugada, paso por donde tengo el servidor y veo el led de
actividad de disco parpadeando, y actividad en ese puerto del switch...
pienso "por la velocidad de la intermitencia de los LEDS , alguien debe
estar descargando el iso por torrent"... otra vez a la cama.
Pasadas las 8 am, paso por el servidor otra vez y veo la misma actividad...
me pica la curiosidad, prendo el monitor, reviso el servidor de bittorrent y
veo que no hay ningún "leecher" conectado y no hay actividad registada de
subida desde ayer... reviso si hay algún otro usuario logueado; no, sólo
yo.  Reviso los logs de vsftpd (ftp) y no se ha conectado nadie desde la
tarde de ayer 12, ni anónimo ni con cuenta local.... uuuhhhmmmmmm.  Reviso
el auth.log y veo 2 ataques de "fuerza bruta" via ssh continuos desde la
noche de ayer... pienso: "tengo que arreglar eso en el sshd.conf, limitar el
número de intentos de login vía ssh".  Reviso por encima (el log es
larguísimo) para ver si lograron entrar y aparentemente no pudieron, aunque
estaban usando nombres anglosajones en orden alfabético, cuando llegaron a
mi nombre se estrellaron con la contraseña (me imagino que luego pasaría a
ejecutarse una secuencia alfanumérica).  Le hago un whois a esas IP's y veo
que una es de Beijing y otra de HongKong.  Sigue la actividad de disco y red
y decido parar la guachafita. Paro ssh y sigue la actividad.  Paro vsftpd y
sigue la actividad.  Cierro azureus y sigue la actividad.  Paro samba y
siguen los leds parpadeando.  Paro NFS y sigue igual.  No tengo apache.
Paro cron y cuanto servicio no indispensable hay... sigue el tema... sudo
halt!! y bloqueo de IP's en el router.

Puedo entender que la actividad de red se deba a los intentos de los chinos
de entrar vía ssh, pero ¿al parar el servicio no debería parar esa actividad
de red?  ¿Al parar todos los servicios no debería dejar de leer disco si
hasta yo he parado de darle órdenes a la máquina?  ¿Por donde más pueden
estar tocando puertas?

Entiendo que tengo que aumentar la seguridad pero mi duda sigue con respecto
a por dónde mas me tengo que cuidar.

¿sugerencias?

-- 
“Huid del país donde uno solo ejerce todos los poderes: es un país de
esclavos.”
Simón Bolívar. Caracas, 2 de enero de 1814.


Más información sobre la lista de distribución ubuntu-ve