[l-ubuntu-ve] Ataque a servidor
ssthormess en gmail.com
ssthormess en gmail.com
Dom Abr 12 16:06:59 BST 2009
Interesante. Comentanos cualquier avance.
Enviado desde mi BlackBerry de Movistar
-----Original Message-----
From: Nelson Delgado <nejode en gmail.com>
Date: Mon, 13 Apr 2009 10:26:51
To: Fraternidad UBUNTU Linux de Venezuela<ubuntu-ve en lists.ubuntu.com>
Subject: [l-ubuntu-ve] Ataque a servidor
Saludos a todos:
Solicito ayuda referente a un caso que me sucedió hoy. Historia:
Me paro de madrugada, paso por donde tengo el servidor y veo el led de
actividad de disco parpadeando, y actividad en ese puerto del switch...
pienso "por la velocidad de la intermitencia de los LEDS , alguien debe
estar descargando el iso por torrent"... otra vez a la cama.
Pasadas las 8 am, paso por el servidor otra vez y veo la misma actividad...
me pica la curiosidad, prendo el monitor, reviso el servidor de bittorrent y
veo que no hay ningún "leecher" conectado y no hay actividad registada de
subida desde ayer... reviso si hay algún otro usuario logueado; no, sólo
yo. Reviso los logs de vsftpd (ftp) y no se ha conectado nadie desde la
tarde de ayer 12, ni anónimo ni con cuenta local.... uuuhhhmmmmmm. Reviso
el auth.log y veo 2 ataques de "fuerza bruta" via ssh continuos desde la
noche de ayer... pienso: "tengo que arreglar eso en el sshd.conf, limitar el
número de intentos de login vía ssh". Reviso por encima (el log es
larguísimo) para ver si lograron entrar y aparentemente no pudieron, aunque
estaban usando nombres anglosajones en orden alfabético, cuando llegaron a
mi nombre se estrellaron con la contraseña (me imagino que luego pasaría a
ejecutarse una secuencia alfanumérica). Le hago un whois a esas IP's y veo
que una es de Beijing y otra de HongKong. Sigue la actividad de disco y red
y decido parar la guachafita. Paro ssh y sigue la actividad. Paro vsftpd y
sigue la actividad. Cierro azureus y sigue la actividad. Paro samba y
siguen los leds parpadeando. Paro NFS y sigue igual. No tengo apache.
Paro cron y cuanto servicio no indispensable hay... sigue el tema... sudo
halt!! y bloqueo de IP's en el router.
Puedo entender que la actividad de red se deba a los intentos de los chinos
de entrar vía ssh, pero ¿al parar el servicio no debería parar esa actividad
de red? ¿Al parar todos los servicios no debería dejar de leer disco si
hasta yo he parado de darle órdenes a la máquina? ¿Por donde más pueden
estar tocando puertas?
Entiendo que tengo que aumentar la seguridad pero mi duda sigue con respecto
a por dónde mas me tengo que cuidar.
¿sugerencias?
--
“Huid del país donde uno solo ejerce todos los poderes: es un país de
esclavos.”
Simón Bolívar. Caracas, 2 de enero de 1814.
_______________________________________________
Lista de correo (ubuntu-ve)
Fraternidad Ubuntu Linux de Venezuela
(Official VenezuelanTeam)
_______________________________________________
ubuntu-ve mailing list
ubuntu-ve en lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
www.ubuntu-ve.org | www.ubuntu.org.ve
_______________________________________________
Modifica tus opciones de suscripción o desuscribete en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
Más información sobre la lista de distribución ubuntu-ve