Hace poco detecte intrusos en el servidor en el cual administro intentando tener acceso desde el 2007 (Este año empece administrarlo, pero los log hablan por si solo) , mediante ssh y ftp a través de fuerza bruta, lo más interesante de todo es que provenian desde China, Israel, dos ataques que detecte esta ultima semana. La solución no puede ser mas simple: La posteo porque a cualquier le podría servir, disculpenme si ya estaba.
Mediante netstat -n vi al intruso en mi conexion:
tcp 0 0 ::ffff:192.168.0.4:22 ::ffff:121.14.118.4:46583 ESTABLISHED
en /etc/ hay un fichero llamado hosts.deny
lo modifcamos desde la consola
nano /etc/hosts.deny
le colocamos
SERVICIO:IP //con esto denegamos a la ip acceder a el servicio que colocaremos, pero en mi caso era mas drastico, no quiero gente intrusa en mi servdiro asi que le aplico la denegacion de todos mis servicios a esa ip
ALL:ip
Quedaría algo asi el fichero.
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
ALL: 193.105.99.122
ALL: 218.28.4.58
ALL: 121.14.118.4
Ahora despues de los cambios miren como cambio el estado de la conexion
tcp 0 0 ::ffff:192.168.0.4:22 ::ffff:121.14.118.4:46583 TIME_WAIT
Hasta desaparecer de las conexiones intrusas.
Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc
Jajajja no te niego eso, pero saca de apuro :D
Cita de: Tzhed en 1 Septiembre 2011, 20:08 PM
Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc
¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.
Cita de: P-Joe en 3 Septiembre 2011, 11:46 AM
¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.
Básicamente sería poner al puerto como "cerrado" (por ejemplo, no lanzando el servicio o denegando todas las IP), pero, si se manda una secuencia específica de paquetes a ese "puerto cerrado", se lanza el servicio o se lo habilita para X IP.
hay varios ejemplos dando vuelta por la red y creo que la wiki tiene algo de info. ( https://duckduckgo.com/?q=Port+Knocking )
Si querés una implementación "de muestra", fijate sobre knockd → https://duckduckgo.com/?q=knockd
En el resto concuerdo con Tzhed, es un tanto inelegante la "solución", ya que la seguridad se labura por capas ... y eso implica refinar la config/uso del daemon ssh, iptables (o el firewall que corresponda) y demás.
Saludos.
P.S: este tema no sé si vá en el área de seguridad o qué, pero bueno, de momento lo dejo acá ~
Muchas gracias por la información, todo claro.
¡Saludos!