[l-ubuntu-ve] Ataque a servidor

Santiago Zarate santiago en ubuntu.org.ve
Dom Abr 12 19:00:41 BST 2009 

Yo solia sufrir del mismo problema, por eso tengo el puerto ssh en
otro lugar... la cuestion con la actividad de la red... bueno...
aunque tengas el servicio detenido... seguira por un largo rato...
algo que podrias hacer, es "rebotar" esa ip por un largo rato...
(echale un ojo al paquete fail2ban)... por otro lado configura el nfs,
para que solo escuche en la red interna~

yo resolvi en cierta forma la cuestion con el ssh redirigiendo todas
las peticiones al puerto 22 a la ip 127.0.0.1 :D desde el router

estas son unas reglas adicionales que tengo en iptables:

iptables -A INPUT -p tcp  -s 192.168.0.0/16 -m multiport --dports
139,143,445,25,2049 -j ACCEPT

# Log all unauthorized access attempts...
iptables -A INPUT -p udp --dport 137:138 -m limit -j LOG
iptables -A INPUT -p tcp -m multiport --dports 139,445,25,143 -m limit -j LOG

# ...and then reject the unauthorized access attempts
iptables -A INPUT -p udp --dport 137:138 -j REJECT --reject-with
icmp-port-unreachable
iptables -A INPUT -p tcp -m multiport --dports 139,445,25,143 -j
REJECT --reject-with tcp-reset

Saludos.
El día 13 de abril de 2009 10:36,  <ssthormess en gmail.com> escribió:
> Interesante. Comentanos cualquier avance.
> Enviado desde mi BlackBerry de Movistar
>
> -----Original Message-----
> From: Nelson Delgado <nejode en gmail.com>
>
> Date: Mon, 13 Apr 2009 10:26:51
> To: Fraternidad UBUNTU Linux de Venezuela<ubuntu-ve en lists.ubuntu.com>
> Subject: [l-ubuntu-ve] Ataque a servidor
>
>
> Saludos a todos:
>
> Solicito ayuda referente a un caso que me sucedió hoy.  Historia:
>
> Me paro de madrugada, paso por donde tengo el servidor y veo el led de
> actividad de disco parpadeando, y actividad en ese puerto del switch...
> pienso "por la velocidad de la intermitencia de los LEDS , alguien debe
> estar descargando el iso por torrent"... otra vez a la cama.
> Pasadas las 8 am, paso por el servidor otra vez y veo la misma actividad...
> me pica la curiosidad, prendo el monitor, reviso el servidor de bittorrent y
> veo que no hay ningún "leecher" conectado y no hay actividad registada de
> subida desde ayer... reviso si hay algún otro usuario logueado; no, sólo
> yo.  Reviso los logs de vsftpd (ftp) y no se ha conectado nadie desde la
> tarde de ayer 12, ni anónimo ni con cuenta local.... uuuhhhmmmmmm.  Reviso
> el auth.log y veo 2 ataques de "fuerza bruta" via ssh continuos desde la
> noche de ayer... pienso: "tengo que arreglar eso en el sshd.conf, limitar el
> número de intentos de login vía ssh".  Reviso por encima (el log es
> larguísimo) para ver si lograron entrar y aparentemente no pudieron, aunque
> estaban usando nombres anglosajones en orden alfabético, cuando llegaron a
> mi nombre se estrellaron con la contraseña (me imagino que luego pasaría a
> ejecutarse una secuencia alfanumérica).  Le hago un whois a esas IP's y veo
> que una es de Beijing y otra de HongKong.  Sigue la actividad de disco y red
> y decido parar la guachafita. Paro ssh y sigue la actividad.  Paro vsftpd y
> sigue la actividad.  Cierro azureus y sigue la actividad.  Paro samba y
> siguen los leds parpadeando.  Paro NFS y sigue igual.  No tengo apache.
> Paro cron y cuanto servicio no indispensable hay... sigue el tema... sudo
> halt!! y bloqueo de IP's en el router.
>
> Puedo entender que la actividad de red se deba a los intentos de los chinos
> de entrar vía ssh, pero ¿al parar el servicio no debería parar esa actividad
> de red?  ¿Al parar todos los servicios no debería dejar de leer disco si
> hasta yo he parado de darle órdenes a la máquina?  ¿Por donde más pueden
> estar tocando puertas?
>
> Entiendo que tengo que aumentar la seguridad pero mi duda sigue con respecto
> a por dónde mas me tengo que cuidar.
>
> ¿sugerencias?
>
> --
> “Huid del país donde uno solo ejerce todos los poderes: es un país de
> esclavos.”
> Simón Bolívar. Caracas, 2 de enero de 1814.
> _______________________________________________
> Lista de correo (ubuntu-ve)
> Fraternidad Ubuntu Linux de Venezuela
> (Official VenezuelanTeam)
> _______________________________________________
> ubuntu-ve mailing list
> ubuntu-ve en lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
> www.ubuntu-ve.org | www.ubuntu.org.ve
> _______________________________________________
> Modifica tus opciones de suscripci&#243;n o  desuscribete en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
> _______________________________________________
> Lista de correo (ubuntu-ve)
> Fraternidad Ubuntu Linux de Venezuela
> (Official VenezuelanTeam)
> _______________________________________________
> ubuntu-ve mailing list
> ubuntu-ve en lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
> www.ubuntu-ve.org | www.ubuntu.org.ve
> _______________________________________________
> Modifica tus opciones de suscripci&#243;n o  desuscribete en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
>

Más información sobre la lista de distribución ubuntu-ve