Chino intentando hackear vps centos 8

Iniciado por pepeviyuelaa, 7 Mayo 2021, 00:00 AM

0 Miembros y 1 Visitante están viendo este tema.

pepeviyuelaa

Buenas, tengo a un chino todo el día con mas de 5 intentos por minuto es muy pesado, he desactivado el permiterootlogin pero igualmente sigue tanto se aburre que espera conseguir si no hay nada de valor de verdad, alguna ayudita o consejo que me podrías dar? tengo un usuario aparte del root creado pero no tiene los permisos de superadmin, a pesar de añadirlo al grupo wheel , podríais ayudarme ya que soy muy inepto en esto?
Muchas gracias :laugh:

EDIT: Se me ha olvidado mencionar que tengo el fail2ban activado pero cambiarse de ip es muy sencillo.

Danielㅤ

Hola, no creo que sea un chino, debe estar usando un proxy de China.

En cuanto a que está todo el día intentando entrar en tu servidor, o bien esta al vicio todo el día o bien tiene algún bot que lo hace automáticamente, de todas maneras si estás seguro que no puede ingresar y/o no tienes nada importante, entonces déjalo que pierda su tiempo.

Otra opción es que lo bloquees constantemente, se va a dar cuenta que le estás cerrando cada entrada por la que intenta ingresar y se va a terminar llendo.


Saludos
¡Regresando como cual Fenix! ~
Bomber Code © 2021 https://www.bombercode.net/foro/

Ayudas - Aportes - Tutoriales - Y mucho mas!!!

WHK

#2
Hola, existen muchas botnets muy grandes que estan todos los dias intentando probar acceder a servidores ssh por fuerza bruta, yo mismo tengo un par de servidores y el log diario por intento de accesos es muuuy largo.

Para evitar eso he desactivado el acceso por contraseña y utilizo unicamente llaves rsa fuertes, de esa manera puedo acceder a mis servidores sin contraseñas y hasta de una manera mucho mas cómoda y segura. Es casi imposible que alguien crackee una llave rsa sin conocer la llave pública, y ni aun asi, está muy dificil hacerlo.

PasswordAuthentication no
PermitEmptyPasswords no
PubkeyAuthentication yes
UsePrivilegeSeparation yes
ChallengeResponseAuthentication no
MaxAuthTries 10
MaxSessions 10


Saludos.

pepeviyuelaa

Ya hombre no va a ser alguien aburrido sera una botnet como mencionas, al ser ips distintas de china puse lo de chino, pero nada muchas gracias a los 2 por ayudarme, que vaya bien

#!drvy

Te recomiendo instalar fail2ban y activar las reglas de SSH para que vaya baneando las IP's que tienen demasiados intentos fallidos de autentificación. En Google hay muchos tutoriales de como hacerlo, es basicamente instalar, activar el jail de ssh y a correr.

Saludos

el-brujo

no es exactamente un chino, es una ip china, un ataque 100% automatizado.

Si ya usas Fail2ban lo único que tienes que hacer es añadir drop regla iptables para denegar-ignorar sus peticiones tras x intentos fallidos.

Instalar y configurar Fail2ban
https://blog.elhacker.net/2014/05/instalar-y-configurar-fail2ban.html

Los ataques automatizados vía SSH son demasiado extensos como para no instalar fail2ban.

Hardening SSH

Seguridad en SSH: uso de llaves privadas y multifactor (2FA) con Google Authenticator
https://blog.elhacker.net/2021/01/seguridad-en-ssh-uso-de-llaves-privadas-yautenticacion-multifactor-2fa--con-google-authenticator.html

Usando un honeypot (cowrie) en el puerto ssh te sorprendería ver la cantidad de ataques. Dudo mucho que sólo hayas tenido un intento de una IP china. Lo normal es tener muchos más intentos y de muchos otros países, especialmente Rusia, China, etc.

Más de 200 mil ip's reportadas desde Enero de 2001, la mayoría ataques por fuerza bruta (intentos) por ssh (puerto 22 estándar u otros)
https://www.abuseipdb.com/user/52197

WHK

Yo creo que con habilitar el acceso únicamente con llaves en ves de contraseñas es más que suficientes, no es necesario instalar y configurar tanta cosa.

Saludos.

el-brujo

Yo acabé antes con:

-A INPUT -p tcp -m tcp -s MI_IP_FIJA --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP


Es decir, sólo aceptando solicitudes al puerto ssh 22 de una IP fija.