Mailinglist Archive: opensuse-es (1343 mails)

< Previous Next >
Re: [suse-linux-s] ATAQUES DESDE SSH DE USUARIOS ILEGALES
  • From: jose maria <letrados@xxxxxxxxxxx>
  • Date: Wed, 5 Jan 2005 21:38:35 +0100
  • Message-id: <200501052138.46082.letrados@xxxxxxxxxxx>
El Miércoles, 5 de Enero de 2005 13:17, Jesus Antolin Garcia escribió:

>
> Compañeros de batalla contra esos cabrones que nos intentan fastidiar los
> sistemas, necesito ayuda.
> Tengo un server con apache,ftp y tal y tal.
> Durante estas vacaciones, se ha estado reiniciando sin motivo, unas 3 veces
> por semana o asi.
> Dejando por lo tanto sin servicio a mis alojados.
> Mirando /var/log/messages veo que se han colado muchisimas personas por ssh
> ( si, el que dicen que es protocolo seguro ).
>

* Pues infinitamente mas seguro que apache, ftp y tal y tal , siempre hay un
motivo, hay que encontrarlo, chequeo de wtmp, lastlog, verificar arpwatch y
acct si se tienen en marcha, ver como estan de espacio las particiones, si
los ventiladores funcionan, chequeo de memoria, etc...., ver los
historicos .bash_history de los usuarios, etc..., instalar samhain y
rkhunter, chrootear los usuarios de ssh paquete chroot_ssh en sourceforge, o
con compartm.

> Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la
> misma ip ) se han colado en el sistema.
> La sintaxis del log es algo asin: illegal user pattirick from
>
> :fff.256.32.15.12
>
> Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE
> HAN PODIDO ACCEDER.
> De momento he quitado sshd pero esa no es la solucion, un saludo.
>

* Con esta informacion no se te puede ayudar, ni quiere decir nada, permite el
acceso por ssh desde ip conocidas con tcp-wrappers, ¿estas seguro que el
culpable es ssh?, lo veo dificil salvo horrenda configuracion o paquetes de
software antiguos con bugs.

< Previous Next >