[l-ubuntu-ve] Ataque a servidor

Nelson Delgado nejode en gmail.com
Lun Abr 13 01:06:56 BST 2009


Santiago:

Instalé fail2ban y modifiqué el sshd_config, y hasta los momentos todo ha
estado bajo control.  Hace rato hubo un intento desde 218.22.25.10
(Chinanet-AH, Beijing) pero al 6° intento fallido quedó bloqueada la IP.

En cuanto al NFS, ya estaba configurado para la red local y el /etc/exports
está bastante restringido.  Samba también está restringido a la red local.
El FTP está casi en modo "paranoico" jejeje.  Si siguen con el aplique,
tendré que usar otro puerto y enfrentarme con las iptables (agggghhhhhkk!!).

Gracias por tus recomendaciones... Nelson



El 13 de abril de 2009 13:30, Santiago Zarate <santiago en ubuntu.org.ve>escribió:

> Yo solia sufrir del mismo problema, por eso tengo el puerto ssh en
> otro lugar... la cuestion con la actividad de la red... bueno...
> aunque tengas el servicio detenido... seguira por un largo rato...
> algo que podrias hacer, es "rebotar" esa ip por un largo rato...
> (echale un ojo al paquete fail2ban)... por otro lado configura el nfs,
> para que solo escuche en la red interna~
>
> yo resolvi en cierta forma la cuestion con el ssh redirigiendo todas
> las peticiones al puerto 22 a la ip 127.0.0.1 :D desde el router
>
> estas son unas reglas adicionales que tengo en iptables:
>
> iptables -A INPUT -p tcp  -s 192.168.0.0/16 -m multiport --dports
> 139,143,445,25,2049 -j ACCEPT
>
> # Log all unauthorized access attempts...
> iptables -A INPUT -p udp --dport 137:138 -m limit -j LOG
> iptables -A INPUT -p tcp -m multiport --dports 139,445,25,143 -m limit -j
> LOG
>
> # ...and then reject the unauthorized access attempts
> iptables -A INPUT -p udp --dport 137:138 -j REJECT --reject-with
> icmp-port-unreachable
> iptables -A INPUT -p tcp -m multiport --dports 139,445,25,143 -j
> REJECT --reject-with tcp-reset
>
> Saludos.
> El día 13 de abril de 2009 10:36,  <ssthormess en gmail.com> escribió:
> > Interesante. Comentanos cualquier avance.
> > Enviado desde mi BlackBerry de Movistar
> >
> > -----Original Message-----
> > From: Nelson Delgado <nejode en gmail.com>
> >
> > Date: Mon, 13 Apr 2009 10:26:51
> > To: Fraternidad UBUNTU Linux de Venezuela<ubuntu-ve en lists.ubuntu.com>
> > Subject: [l-ubuntu-ve] Ataque a servidor
> >
> >
> > Saludos a todos:
> >
> > Solicito ayuda referente a un caso que me sucedió hoy.  Historia:
> >
> > Me paro de madrugada, paso por donde tengo el servidor y veo el led de
> > actividad de disco parpadeando, y actividad en ese puerto del switch...
> > pienso "por la velocidad de la intermitencia de los LEDS , alguien debe
> > estar descargando el iso por torrent"... otra vez a la cama.
> > Pasadas las 8 am, paso por el servidor otra vez y veo la misma
> actividad...
> > me pica la curiosidad, prendo el monitor, reviso el servidor de
> bittorrent y
> > veo que no hay ningún "leecher" conectado y no hay actividad registada de
> > subida desde ayer... reviso si hay algún otro usuario logueado; no, sólo
> > yo.  Reviso los logs de vsftpd (ftp) y no se ha conectado nadie desde la
> > tarde de ayer 12, ni anónimo ni con cuenta local.... uuuhhhmmmmmm.
>  Reviso
> > el auth.log y veo 2 ataques de "fuerza bruta" via ssh continuos desde la
> > noche de ayer... pienso: "tengo que arreglar eso en el sshd.conf, limitar
> el
> > número de intentos de login vía ssh".  Reviso por encima (el log es
> > larguísimo) para ver si lograron entrar y aparentemente no pudieron,
> aunque
> > estaban usando nombres anglosajones en orden alfabético, cuando llegaron
> a
> > mi nombre se estrellaron con la contraseña (me imagino que luego pasaría
> a
> > ejecutarse una secuencia alfanumérica).  Le hago un whois a esas IP's y
> veo
> > que una es de Beijing y otra de HongKong.  Sigue la actividad de disco y
> red
> > y decido parar la guachafita. Paro ssh y sigue la actividad.  Paro vsftpd
> y
> > sigue la actividad.  Cierro azureus y sigue la actividad.  Paro samba y
> > siguen los leds parpadeando.  Paro NFS y sigue igual.  No tengo apache.
> > Paro cron y cuanto servicio no indispensable hay... sigue el tema... sudo
> > halt!! y bloqueo de IP's en el router.
> >
> > Puedo entender que la actividad de red se deba a los intentos de los
> chinos
> > de entrar vía ssh, pero ¿al parar el servicio no debería parar esa
> actividad
> > de red?  ¿Al parar todos los servicios no debería dejar de leer disco si
> > hasta yo he parado de darle órdenes a la máquina?  ¿Por donde más pueden
> > estar tocando puertas?
> >
> > Entiendo que tengo que aumentar la seguridad pero mi duda sigue con
> respecto
> > a por dónde mas me tengo que cuidar.
> >
> > ¿sugerencias?
> >
> > --
> > “Huid del país donde uno solo ejerce todos los poderes: es un país de
> > esclavos.”
> > Simón Bolívar. Caracas, 2 de enero de 1814.
> > _______________________________________________
> > Lista de correo (ubuntu-ve)
> > Fraternidad Ubuntu Linux de Venezuela
> > (Official VenezuelanTeam)
> > _______________________________________________
> > ubuntu-ve mailing list
> > ubuntu-ve en lists.ubuntu.com
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
> > www.ubuntu-ve.org | www.ubuntu.org.ve
> > _______________________________________________
> > Modifica tus opciones de suscripci&#243;n o  desuscribete en:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
> > _______________________________________________
> > Lista de correo (ubuntu-ve)
> > Fraternidad Ubuntu Linux de Venezuela
> > (Official VenezuelanTeam)
> > _______________________________________________
> > ubuntu-ve mailing list
> > ubuntu-ve en lists.ubuntu.com
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
> > www.ubuntu-ve.org | www.ubuntu.org.ve
> > _______________________________________________
> > Modifica tus opciones de suscripci&#243;n o  desuscribete en:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
> >
>
> _______________________________________________
> Lista de correo (ubuntu-ve)
> Fraternidad Ubuntu Linux de Venezuela
> (Official VenezuelanTeam)
> _______________________________________________
> ubuntu-ve mailing list
> ubuntu-ve en lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
> www.ubuntu-ve.org<https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve%0Awww.ubuntu-ve.org>|
> www.ubuntu.org.ve
> _______________________________________________
> Modifica tus opciones de suscripci&#243;n o  desuscribete en:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
>



-- 
“Huid del país donde uno solo ejerce todos los poderes: es un país de
esclavos.”
Simón Bolívar. Caracas, 2 de enero de 1814.


Más información sobre la lista de distribución ubuntu-ve