[l-ubuntu-ve] Ataque a servidor

Santiago Zarate santiago en ubuntu.org.ve
Lun Abr 13 01:29:49 BST 2009


yo por el ftp no me preocupo... tengo solo 1 cuenta anonima, y
configurado para que los usuarios se vean "encarcelados" en su home y
que no puedan hacer acciones especificas, por otro lado, las cuentas
que tienen acceso ftp tienen como shell predeterminado /bin/false y
una .ftpaccess bastante restringido, especialmente para la cuenta
anonima (que aun asi... necesita password, y no se llama anonymous xD)

El día 13 de abril de 2009 19:36, Nelson Delgado <nejode en gmail.com> escribió:
> Santiago:
>
> Instalé fail2ban y modifiqué el sshd_config, y hasta los momentos todo ha
> estado bajo control.  Hace rato hubo un intento desde 218.22.25.10
> (Chinanet-AH, Beijing) pero al 6° intento fallido quedó bloqueada la IP.
>
> En cuanto al NFS, ya estaba configurado para la red local y el /etc/exports
> está bastante restringido.  Samba también está restringido a la red local.
> El FTP está casi en modo "paranoico" jejeje.  Si siguen con el aplique,
> tendré que usar otro puerto y enfrentarme con las iptables (agggghhhhhkk!!).
>
> Gracias por tus recomendaciones... Nelson
>
>
>
> El 13 de abril de 2009 13:30, Santiago Zarate <santiago en ubuntu.org.ve>escribió:
>
>> Yo solia sufrir del mismo problema, por eso tengo el puerto ssh en
>> otro lugar... la cuestion con la actividad de la red... bueno...
>> aunque tengas el servicio detenido... seguira por un largo rato...
>> algo que podrias hacer, es "rebotar" esa ip por un largo rato...
>> (echale un ojo al paquete fail2ban)... por otro lado configura el nfs,
>> para que solo escuche en la red interna~
>>
>> yo resolvi en cierta forma la cuestion con el ssh redirigiendo todas
>> las peticiones al puerto 22 a la ip 127.0.0.1 :D desde el router
>>
>> estas son unas reglas adicionales que tengo en iptables:
>>
>> iptables -A INPUT -p tcp  -s 192.168.0.0/16 -m multiport --dports
>> 139,143,445,25,2049 -j ACCEPT
>>
>> # Log all unauthorized access attempts...
>> iptables -A INPUT -p udp --dport 137:138 -m limit -j LOG
>> iptables -A INPUT -p tcp -m multiport --dports 139,445,25,143 -m limit -j
>> LOG
>>
>> # ...and then reject the unauthorized access attempts
>> iptables -A INPUT -p udp --dport 137:138 -j REJECT --reject-with
>> icmp-port-unreachable
>> iptables -A INPUT -p tcp -m multiport --dports 139,445,25,143 -j
>> REJECT --reject-with tcp-reset
>>
>> Saludos.
>> El día 13 de abril de 2009 10:36,  <ssthormess en gmail.com> escribió:
>> > Interesante. Comentanos cualquier avance.
>> > Enviado desde mi BlackBerry de Movistar
>> >
>> > -----Original Message-----
>> > From: Nelson Delgado <nejode en gmail.com>
>> >
>> > Date: Mon, 13 Apr 2009 10:26:51
>> > To: Fraternidad UBUNTU Linux de Venezuela<ubuntu-ve en lists.ubuntu.com>
>> > Subject: [l-ubuntu-ve] Ataque a servidor
>> >
>> >
>> > Saludos a todos:
>> >
>> > Solicito ayuda referente a un caso que me sucedió hoy.  Historia:
>> >
>> > Me paro de madrugada, paso por donde tengo el servidor y veo el led de
>> > actividad de disco parpadeando, y actividad en ese puerto del switch...
>> > pienso "por la velocidad de la intermitencia de los LEDS , alguien debe
>> > estar descargando el iso por torrent"... otra vez a la cama.
>> > Pasadas las 8 am, paso por el servidor otra vez y veo la misma
>> actividad...
>> > me pica la curiosidad, prendo el monitor, reviso el servidor de
>> bittorrent y
>> > veo que no hay ningún "leecher" conectado y no hay actividad registada de
>> > subida desde ayer... reviso si hay algún otro usuario logueado; no, sólo
>> > yo.  Reviso los logs de vsftpd (ftp) y no se ha conectado nadie desde la
>> > tarde de ayer 12, ni anónimo ni con cuenta local.... uuuhhhmmmmmm.
>>  Reviso
>> > el auth.log y veo 2 ataques de "fuerza bruta" via ssh continuos desde la
>> > noche de ayer... pienso: "tengo que arreglar eso en el sshd.conf, limitar
>> el
>> > número de intentos de login vía ssh".  Reviso por encima (el log es
>> > larguísimo) para ver si lograron entrar y aparentemente no pudieron,
>> aunque
>> > estaban usando nombres anglosajones en orden alfabético, cuando llegaron
>> a
>> > mi nombre se estrellaron con la contraseña (me imagino que luego pasaría
>> a
>> > ejecutarse una secuencia alfanumérica).  Le hago un whois a esas IP's y
>> veo
>> > que una es de Beijing y otra de HongKong.  Sigue la actividad de disco y
>> red
>> > y decido parar la guachafita. Paro ssh y sigue la actividad.  Paro vsftpd
>> y
>> > sigue la actividad.  Cierro azureus y sigue la actividad.  Paro samba y
>> > siguen los leds parpadeando.  Paro NFS y sigue igual.  No tengo apache.
>> > Paro cron y cuanto servicio no indispensable hay... sigue el tema... sudo
>> > halt!! y bloqueo de IP's en el router.
>> >
>> > Puedo entender que la actividad de red se deba a los intentos de los
>> chinos
>> > de entrar vía ssh, pero ¿al parar el servicio no debería parar esa
>> actividad
>> > de red?  ¿Al parar todos los servicios no debería dejar de leer disco si
>> > hasta yo he parado de darle órdenes a la máquina?  ¿Por donde más pueden
>> > estar tocando puertas?
>> >
>> > Entiendo que tengo que aumentar la seguridad pero mi duda sigue con
>> respecto
>> > a por dónde mas me tengo que cuidar.
>> >
>> > ¿sugerencias?
>> >
>> > --
>> > “Huid del país donde uno solo ejerce todos los poderes: es un país de
>> > esclavos.”
>> > Simón Bolívar. Caracas, 2 de enero de 1814.
>> > _______________________________________________
>> > Lista de correo (ubuntu-ve)
>> > Fraternidad Ubuntu Linux de Venezuela
>> > (Official VenezuelanTeam)
>> > _______________________________________________
>> > ubuntu-ve mailing list
>> > ubuntu-ve en lists.ubuntu.com
>> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
>> > www.ubuntu-ve.org | www.ubuntu.org.ve
>> > _______________________________________________
>> > Modifica tus opciones de suscripci&#243;n o  desuscribete en:
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
>> > _______________________________________________
>> > Lista de correo (ubuntu-ve)
>> > Fraternidad Ubuntu Linux de Venezuela
>> > (Official VenezuelanTeam)
>> > _______________________________________________
>> > ubuntu-ve mailing list
>> > ubuntu-ve en lists.ubuntu.com
>> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
>> > www.ubuntu-ve.org | www.ubuntu.org.ve
>> > _______________________________________________
>> > Modifica tus opciones de suscripci&#243;n o  desuscribete en:
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
>> >
>>
>> _______________________________________________
>> Lista de correo (ubuntu-ve)
>> Fraternidad Ubuntu Linux de Venezuela
>> (Official VenezuelanTeam)
>> _______________________________________________
>> ubuntu-ve mailing list
>> ubuntu-ve en lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
>> www.ubuntu-ve.org<https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve%0Awww.ubuntu-ve.org>|
>> www.ubuntu.org.ve
>> _______________________________________________
>> Modifica tus opciones de suscripci&#243;n o  desuscribete en:
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
>>
>
>
>
> --
> “Huid del país donde uno solo ejerce todos los poderes: es un país de
> esclavos.”
> Simón Bolívar. Caracas, 2 de enero de 1814.
> _______________________________________________
> Lista de correo (ubuntu-ve)
> Fraternidad Ubuntu Linux de Venezuela
> (Official VenezuelanTeam)
> _______________________________________________
> ubuntu-ve mailing list
> ubuntu-ve en lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
> www.ubuntu-ve.org | www.ubuntu.org.ve
> _______________________________________________
> Modifica tus opciones de suscripci&#243;n o  desuscribete en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ve
>



Más información sobre la lista de distribución ubuntu-ve