El Miércoles, 5 de Enero de 2005 13:17, Jesus Antolin Garcia escribió:
Compañeros de batalla contra esos cabrones que nos intentan fastidiar los sistemas, necesito ayuda. Tengo un server con apache,ftp y tal y tal. Durante estas vacaciones, se ha estado reiniciando sin motivo, unas 3 veces por semana o asi. Dejando por lo tanto sin servicio a mis alojados. Mirando /var/log/messages veo que se han colado muchisimas personas por ssh ( si, el que dicen que es protocolo seguro ).
* Pues infinitamente mas seguro que apache, ftp y tal y tal , siempre hay un motivo, hay que encontrarlo, chequeo de wtmp, lastlog, verificar arpwatch y acct si se tienen en marcha, ver como estan de espacio las particiones, si los ventiladores funcionan, chequeo de memoria, etc...., ver los historicos .bash_history de los usuarios, etc..., instalar samhain y rkhunter, chrootear los usuarios de ssh paquete chroot_ssh en sourceforge, o con compartm.
Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma ip ) se han colado en el sistema. La sintaxis del log es algo asin: illegal user pattirick from
:fff.256.32.15.12
Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN PODIDO ACCEDER. De momento he quitado sshd pero esa no es la solucion, un saludo.
* Con esta informacion no se te puede ayudar, ni quiere decir nada, permite el acceso por ssh desde ip conocidas con tcp-wrappers, ¿estas seguro que el culpable es ssh?, lo veo dificil salvo horrenda configuracion o paquetes de software antiguos con bugs.