Consulta seguridad servers

Iniciado por manyblue, 15 Diciembre 2010, 15:54 PM

0 Miembros y 1 Visitante están viendo este tema.

manyblue

En primer lugar un saludo.
Tengo un srver con freeBSD y esta mañana al encender el monitor me encuentro esto:

Dec 15 08:36:50 manyblue sshd[62354]: reverse mapping checking getaddrinfo for host-41.35.85.224.tedata.net [41.35.85.224] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 15 08:36:51 manyblue sshd[62349]: error: PAM: authentication error for root from 89.204.50.236
Dec 15 08:36:51 manyblue sshd[62349]: Failed keyboard-interactive/pam for root from 89.204.50.236 port 4492 ssh2
Dec 15 08:36:51 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:51 manyblue sshd[62349]: error: PAM: authentication error for root from 89.204.50.236
Dec 15 08:36:51 manyblue sshd[62349]: Failed keyboard-interactive/pam for root from 89.204.50.236 port 4492 ssh2
Dec 15 08:36:51 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:52 manyblue sshd[62349]: error: PAM: authentication error for root from 89.204.50.236
Dec 15 08:36:52 manyblue sshd[62349]: Failed keyboard-interactive/pam for root from 89.204.50.236 port 4492 ssh2
Dec 15 08:36:52 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:52 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:52 manyblue sshd[62354]: Failed keyboard-interactive/pam for root from 41.35.85.224 port 3825 ssh2
Dec 15 08:36:52 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:52 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:53 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:53 manyblue sshd[62354]: Failed keyboard-interactive/pam for root from 41.35.85.224 port 3825 ssh2
Dec 15 08:36:53 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:53 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:53 manyblue sshd[62354]: Failed keyboard-interactive/pam for root from 41.35.85.224 port 3825 ssh2
Dec 15 08:36:53 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:53 manyblue sshd[62361]: Failed keyboard-interactive/pam for root from 95.52.45.132 port 4874 ssh2
Dec 15 08:36:54 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:54 manyblue sshd[62361]: Failed keyboard-interactive/pam for root from 95.52.45.132 port 4874 ssh2
Dec 15 08:36:54 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:54 manyblue sshd[62361]: Failed keyboard-interactive/pam for root from 95.52.45.132 port 4874 ssh2
Dec 15 08:36:55 manyblue sshd[62373]: error: PAM: authentication error for root from 89.204.50.236


41.32.0.0 - 41.47.255.255
TE Data

Mohamed Hamdy
TE Data,

Smart Village, Building A11-B90, Alex Desert Road,
28 Km
6th October 12577
Egypt
mohamed.hamdy@tedata.net
+2023320700
+2023320804

Ismail Saeed
11 Cleopatra Heliopolies, Cairo
Egypt
+202 4166600
+202 4166700
ismail.saeed@tedata.net


89.204.50.0 - 89.204.51.255
Dynamic distribution IP's for broadband services
OJSC Uralsvyazinform, a Tyumen subsidiary

Uralsvyazinform TFES Administration Staff
11, Moskovskaya str.
Yekaterinburg, 620014
Russian Federation
ipreg@tumen.usi.ru


Imagino que seran intentos de ataque ssh, me lo podeis explicar un poco ?

Que me recomendais para aumentar la seguridad ? no me digais que limite las ip que seria lo mejor por que me conecto via ssh desde muchos sitios y seria imposible para mi estar esclavizado con el server. Tampoco navegar con proxis pues sumado que mi conexion no es sobrada me relentizaria muchisimo dicha conexion.
Mi acceso a root es siempre via usuario y luego su

Podria hacer esto que he leido por ahi y me lo explicais por encima:

* Editas el fichero /etc/ssh/denyusers agregando en una linea la
palabra root.

* Limitar el número de reintentos de login (por ejemplo 5 o 6) y
poniendo un retardo de tiempo para evitar posibles ataques de fuerza
bruta.

*Limitar los usuarios que tienen acceso de modo estricto.

* Crear una key cifrada en un dispositivo usb para acceder...
SSH dota de una funcionalidad muy extensa, merece la pena leer la
documentación (reenvío de las X, ssh tunneling, etc)
Un ejemplo de fichero de configuración podría ser este

# $OpenBSD: sshd_config,v 1.75 2007/03/19 01:01:29 djm Exp $

# vi /etc/ssh/denyusers

No he añadido nada todavia pues mi actitud es siempre preguntar primero hacer despues pues todavia soy medio novato en esto, he editado este fichero "denyusers" y esta completamente vacio. Añadir estas lineas:

root
with
a
Protocol 2
HostKey /etc/ssh/ssh_host_dsa_key
/etc/ssh/ssh_known_hosts
IgnoreRhosts yes
PasswordAuthentication yes
PermitEmptyPasswords no
bypass
UsePAM no
X11Forwarding yes
TCPKeepAlive yes
UsePrivilegeSeparation yes
MaxStartups 16
PermitTunnel no
Banner /etc/ssh/banner.txt
Subsystem sftp /usr/lib64/ssh/sftp-server
Port 22
ListenAddress 0.0.0.0
SyslogFacility AUTH
LogLevel VERBOSE
AllowUsers xxx,yyyy,zzz
LoginGraceTime 300
KeepAlive yes
RSAAuthentication no
PubkeyAuthentication no
AuthorizedKeysFile .ssh/authorized_keys2
PasswordAuthentication yes
IgnoreRhosts yes
PermitEmptyPasswords no
Compression yes
StrictModes yes
PrintMotd yes
PrintLastLog yes
MaxAuthTries 6


Muchas gracias de antemano y un saludo atodos.

manyblue

#1
la verdad es  que siempre me respondo yo valla impaciencia por aprender heeeeee.

Solucion:

ni editar archivos ni nada.

He instalado NTOP y ya tengo monitorizada mi red
Acontinuacion he instalado "denyhosts" un programita de python que viene en los ports de freeBSD y vualaaaaa
Estos pendejos ya estan en la lista negra, por que me atacan coño.....
yo no les e hecho nada y soy un insignificante para hakear pues que se jo.....
Los tengo bien bien vigilados.

Un saludo atodos

Ya se que en esto de la seguridad no hay nada dicho, para seguro seguro la muerte, pues tambien se que es la preocupacion del futuro LA SEGURIDAD con mayusculas pero por lo menos los tengo vigilados con NTOP o NUT tambien sirve y Denyhosts.

PD: tambien he cambiado pass router, activado el firewall reconfigurado y dentro de un poco cambiar pass user y root, a ver si saco tiempo pues todos tenemos que currar para comer. Essto ha sido un ataque ssh en toda regla pero al final no consiguieron nada, por el momento jijijijijijijiji.