Home | Content | Search | Navigation | Indexes
 

Mailinglist Archive: opensuse-es (1350 mails)

< Previous Next >
Re: [suse-linux-s] ATAQUES DESDE SSH DE USUARIOS ILEGALES
  • From: "Carlos E. R." <robin1.listas@xxxxxxxxxx>
  • Date: Thu, 17 Feb 2005 20:52:53 +0100 (CET)
  • Message-id: <Pine.LNX.4.58.0502172044050.7129@xxxxxxxxxxxxxxxx>


¿Recordais esto?


El 2005-01-05 a las 21:48 +0100, escribí:

> El 2005-01-05 a las 12:17 -0000, Jesus Antolin Garcia escribió:
>
> > Mirando /var/log/messages veo que se han colado muchisimas personas por ssh (
> > si, el que dicen que es protocolo seguro ).
> > Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma
> > ip ) se han colado en el sistema.
> > La sintaxis del log es algo asin: illegal user pattirick from
> > :fff.256.32.15.12
>
> Tsk, tsk... hay que leer bien los mensajes. Te dice que es un "usuario
> ilegal", o sea, que no le ha permitido entrar.
>
> > Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN
> > PODIDO ACCEDER.
>
> No, que han intentado entrar con un usuario inexistente o ilegal.
>
> > De momento he quitado sshd pero esa no es la solucion, un saludo.
>
> Esos ataques son bastante conocidos y han salido en las listas de
> seguridad hace _meses_. Deberías leerlas. Simplemente intentan encontrar
> nombres de usuario existentes en un sistema determinado (como admin), y
> una vez encontrado un usuario existente (se determina por el diferente
> tiempo de respuesta del ssh según el usuario exista o no exista antes de
> pedir la pasword), entonces lanzan un ataque de diccionario contra ese
> servidor.
>
> La solución es desabilitar la entrada a ssh por palabra clave, y hacerlo
> por llave criptografica - si es que necesitas usar ssh desde cualquier IP.
> En caso contrario, limita las IPs que puedan conectarse a tu sistema.


Bueno, pues ya hay un parche, mediante YOU.


|openssh - Secure shell client and server (remote login program)
|
|This update of openssh fixes a possible timing-attack that could be
|abused remotely to determine user-names (CAN-2003-0190). Additionally the
|output of failing PAM sessions will now be displayed and the
|terminal-setting for aborted login-sessions will get restored correctly.

No lo he instalado todavía, pero a los que teneis servidores con IP fija
os interesa cantidubi.

--
Saludos
Carlos Robinson


< Previous Next >
This Thread
  • No further messages