posible ataque ??
Orlando Sojo
orlandosojo en gmail.com
Jue Nov 30 13:00:26 CLST 2006
Por ahi encontre este para de lineas q podrian ser de mucha ayuda para tu
problema, suerte.
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent
--update --seconds 45 -j DROP
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent
--set -j ACCEPT
2006/11/29, Miguel Peña G <mpena en linuxhelp.cl>:
>
> por los tiempo entre consultas no creo ..
>
> pero ya que la duda asalta ...
>
> mas que actualizado el shorewall tenga actualizado sus paquetes criticos
> en este caso el openssh , y aunque suene obvio ..
>
> no use su ssh en el puerto standard ni menos permita al root hacer
> shell remota en forma directa.
>
>
>
>
> El mié, 29-11-2006 a las 11:51 -0300, Roberto Leiva M. (Lista) escribió:
> > Tengo un firewall Centos 4.4 al dia con shorewall.
> >
> > En el log se aprecian las sgtes lineas:
> >
> > Nov 29 11:37:49 gw sshd(pam_unix)[11215]: authentication failure;
> logname= uid=0 euid=0 tty=ssh
> > ruser= rhost=66.192.113.8 user=root
> > Nov 29 11:37:52 gw sshd(pam_unix)[11217]: authentication failure;
> logname= uid=0 euid=0 tty=ssh
> > ruser= rhost=66.192.113.8 user=root
> > Nov 29 11:37:56 gw sshd(pam_unix)[11219]: authentication failure;
> logname= uid=0 euid=0 tty=ssh
> > ruser= rhost=66.192.113.8 user=root
> > Nov 29 11:38:00 gw sshd(pam_unix)[11221]: authentication failure;
> logname= uid=0 euid=0 tty=ssh
> > ruser= rhost=66.192.113.8 user=root
> > [...] se repiten constantemente
> >
> > sera un ataque de fuerza bruta ?? que se puede hacer ??
> >
> > datos:
> > [@gw ~]# traceroute 66.192.113.8
> > traceroute to 66.192.113.8 (66.192.113.8), 30 hops max, 38 byte packets
> > 1 200.75.24.65 (200.75.24.65) 0.523 ms 0.810 ms 0.334 ms
> > 2 200.55.210.62 (200.55.210.62) 0.579 ms 0.558 ms 0.531 ms
> > 3 CORE-INT-1.gtdinternet.com (200.75.0.66) 0.649 ms 0.671 ms 0.596ms
> > 4 CORE-INT-2.gtdinternet.com (201.238.238.26) 0.959 ms 0.850 ms
> 0.806 ms
> > 5 san1-gtd-1-cl.san.seabone.net (195.22.221.89) 109.892 ms 109.477ms
> 109.273 ms
> > 6 ash1-new1-racc1.new.seabone.net (195.22.216.225) 153.307 ms
> 153.378 ms 153.707 ms
> > 7 * * *
> > 8 core-02-ge-0-3-0-1.asbn.twtelecom.net (64.129.249.17) 146.813 ms
> 147.995 ms 147.139 ms
> > 9 dist-02-so-0-0-0-0.roch.twtelecom.net (66.192.240.8) 197.103 ms
> 158.303 ms 153.267 ms
> > 10 hagg-02-ge-3-3-0-504.roch.twtelecom.net (66.192.240.155) 152.857ms
> 167.992 ms 159.473 ms
> > 11 207.250.127.10 (207.250.127.10) 242.489 ms 213.470 ms 270.765 ms
> > 12 mail.rochesterymca.org (66.192.113.8) 241.597 ms 282.269 ms
> 192.596 ms
> >
> >
> > atte.
> > --
> > Roberto Leiva M.
> > Santiago - Chile
>
>
--
Orlando Sojo.
orlandosojo[at]gmail[dot]com
User Linux Registered 344807.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20061130/6285d807/attachment.html
Más información sobre la lista de distribución Linux