posible ataque ??

Orlando Sojo orlandosojo en gmail.com
Jue Nov 30 13:00:26 CLST 2006 

Por ahi encontre este para de lineas q podrian ser de mucha ayuda para tu
problema, suerte.

iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent
--update --seconds 45 -j DROP
iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent
--set -j ACCEPT


2006/11/29, Miguel Peña G <mpena en linuxhelp.cl>:
>
> por los tiempo entre consultas no creo ..
>
> pero ya que la duda asalta ...
>
> mas que actualizado el shorewall tenga actualizado sus paquetes criticos
> en este  caso el openssh , y aunque suene obvio ..
>
> no use su ssh en el puerto standard  ni menos permita al root hacer
> shell remota en forma directa.
>
>
>
>
> El mié, 29-11-2006 a las 11:51 -0300, Roberto Leiva M. (Lista) escribió:
> > Tengo un firewall Centos 4.4 al dia con shorewall.
> >
> > En el log se aprecian las sgtes lineas:
> >
> > Nov 29 11:37:49 gw sshd(pam_unix)[11215]: authentication failure;
> logname= uid=0 euid=0 tty=ssh
> > ruser= rhost=66.192.113.8  user=root
> > Nov 29 11:37:52 gw sshd(pam_unix)[11217]: authentication failure;
> logname= uid=0 euid=0 tty=ssh
> > ruser= rhost=66.192.113.8  user=root
> > Nov 29 11:37:56 gw sshd(pam_unix)[11219]: authentication failure;
> logname= uid=0 euid=0 tty=ssh
> > ruser= rhost=66.192.113.8  user=root
> > Nov 29 11:38:00 gw sshd(pam_unix)[11221]: authentication failure;
> logname= uid=0 euid=0 tty=ssh
> > ruser= rhost=66.192.113.8  user=root
> > [...] se repiten constantemente
> >
> > sera un ataque de fuerza bruta ?? que se puede hacer ??
> >
> > datos:
> > [@gw ~]# traceroute 66.192.113.8
> > traceroute to 66.192.113.8 (66.192.113.8), 30 hops max, 38 byte packets
> >   1  200.75.24.65 (200.75.24.65)  0.523 ms  0.810 ms  0.334 ms
> >   2  200.55.210.62 (200.55.210.62)  0.579 ms  0.558 ms  0.531 ms
> >   3  CORE-INT-1.gtdinternet.com (200.75.0.66)  0.649 ms  0.671 ms  0.596ms
> >   4  CORE-INT-2.gtdinternet.com (201.238.238.26)  0.959 ms  0.850 ms
> 0.806 ms
> >   5  san1-gtd-1-cl.san.seabone.net (195.22.221.89)  109.892 ms  109.477ms
> 109.273 ms
> >   6  ash1-new1-racc1.new.seabone.net (195.22.216.225)  153.307 ms
> 153.378 ms  153.707 ms
> >   7  * * *
> >   8  core-02-ge-0-3-0-1.asbn.twtelecom.net (64.129.249.17)  146.813 ms
> 147.995 ms  147.139 ms
> >   9  dist-02-so-0-0-0-0.roch.twtelecom.net (66.192.240.8)  197.103 ms
> 158.303 ms  153.267 ms
> > 10  hagg-02-ge-3-3-0-504.roch.twtelecom.net (66.192.240.155)  152.857ms
> 167.992 ms  159.473 ms
> > 11  207.250.127.10 (207.250.127.10)  242.489 ms  213.470 ms  270.765 ms
> > 12  mail.rochesterymca.org (66.192.113.8)  241.597 ms  282.269 ms
> 192.596 ms
> >
> >
> > atte.
> > --
> > Roberto Leiva M.
> > Santiago - Chile
>
>


-- 
Orlando Sojo.
orlandosojo[at]gmail[dot]com
User Linux Registered 344807.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://listas.inf.utfsm.cl/pipermail/linux/attachments/20061130/6285d807/attachment.html

Más información sobre la lista de distribución Linux