posible intento de negacion de servicios o hacking.

Francisco Collao Garate pcollaog en lcampino.cl
Mar Oct 18 18:22:58 CLST 2005 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jose Salas G wrote:
> Estimados,
> 
> 	He estado aprendiendo sobre la seguridad con iptables
> 
> 	y hace poco se me empezo a caer cada cierto tiempo el servicio ppp
> (internet), debido a que lo comparto con una 	maquina.
> 
> 	estoy clarisimo que no es la mejor forma, pero digamos que no estan los
> medios(se supone).
> 
> 	Me puse a revisar un log
> 	vi /var/log/secure
> 
> Oct 17 16:51:33 IP1 sshd[2976]: Accepted password for jsalas from
> ::ffff:192.168.0.11 port 2399
> Oct 17 18:14:17 IP1 sshd[3120]: Did not receive identification string from
> ::ffff:220.202.78.136
> Oct 18 02:23:30 IP1 sshd[3351]: Did not receive identification string from
> ::ffff:61.218.130.20
> Oct 18 02:31:50 IP1 sshd[3456]: Invalid user dave from ::ffff:61.218.130.20
> Oct 18 02:31:53 IP1 sshd[3456]: Failed password for invalid user dave from
> ::ffff:61.218.130.20 port 39539 ssh2
> Oct 18 02:31:56 IP1 sshd[3458]: Invalid user dexter from
> ::ffff:61.218.130.20
> Oct 18 02:31:59 IP1 sshd[3458]: Failed password for invalid user dexter fro
> 
> y me salen estas lineas, en si esto es un resumen ya que sale una lista
> bastante larga
> 
> como podria ver si alguien se conecto a la maquina?
> 
> estoy claro que hay muchas formas, pero las más conocidas para ver como me
> puedo defender.
> 
> Estoy haciendo unas reglas de iptables para poder validar las direcciones
> que acepte por lo menos solo ssh.
> 
> Atte.
> 
> José

si te molestan mucho... puedes bloquear la red de procedencia del ataque de
fuerza bruta con tcpwrappers, edita el /etc/hosts.deny y pone.

sshd: 61.218.130.20 	# para la ip
sshd: 61.218.130.	# para la sub red

Ademas con buenas politicas de seguidad sobre ssh no tienes problemas, como usar
keys para autenticar, denegar el acceso del root, aceptar solo el protocolo 2,
configurar bien tu IP ya que por lo que veo el servicio acepta ipv6 y lo mas
importante a mi gusto, es dejar que solo algunos usuarios se conecten, en este
caso tu, edita el /etc/ssh/sshd_config y al final agrega:

AllowUsers	tuusuario	otrouserconfiable	y_otrouser


santo remedio.
salu2
- --
Francisco Collao Gárate
Ingeniero de Ejecución Químico
LinuxUser #363300
http://pcollaog.lcampino.cl
[Usa Firefox y redescubre Internet http://www.firefox.cl]

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (MingW32)

iD8DBQFDVWeyocVQ1F8jF9ARAhIYAJ9NWV8FBmc5hklYrI3Dmr+n2TwW1wCePPti
4DXHLiRaarhZLat0qyKouuk=
=W6uh
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución Linux