posible ataque ??

Miguel Peña G mpena en linuxhelp.cl
Jue Nov 30 14:38:20 CLST 2006 

bueno el del problema es de quien inicio el thread ..

pq ese no jui yo.

juas

El jue, 30-11-2006 a las 11:00 -0500, Orlando Sojo escribió:
> Por ahi encontre este para de lineas q podrian ser de mucha ayuda para
> tu problema, suerte.
>  
> iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m
> recent --update --seconds 45 -j DROP
> iptables -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m
> recent --set -j ACCEPT
> 
>  
> 2006/11/29, Miguel Peña G <mpena en linuxhelp.cl>: 
>         por los tiempo entre consultas no creo ..
>         
>         pero ya que la duda asalta ...
>         
>         mas que actualizado el shorewall tenga actualizado sus
>         paquetes criticos 
>         en este  caso el openssh , y aunque suene obvio ..
>         
>         no use su ssh en el puerto standard  ni menos permita al root
>         hacer
>         shell remota en forma directa.
>         
>         
>         
>         
>         El mié, 29-11-2006 a las 11:51 -0300, Roberto Leiva M. (Lista)
>         escribió: 
>         > Tengo un firewall Centos 4.4 al dia con shorewall.
>         >
>         > En el log se aprecian las sgtes lineas:
>         >
>         > Nov 29 11:37:49 gw sshd(pam_unix)[11215]: authentication
>         failure; logname= uid=0 euid=0 tty=ssh 
>         > ruser= rhost=66.192.113.8  user=root
>         > Nov 29 11:37:52 gw sshd(pam_unix)[11217]: authentication
>         failure; logname= uid=0 euid=0 tty=ssh
>         > ruser= rhost=66.192.113.8  user=root
>         > Nov 29 11:37:56 gw sshd(pam_unix)[11219]: authentication
>         failure; logname= uid=0 euid=0 tty=ssh
>         > ruser= rhost=66.192.113.8  user=root
>         > Nov 29 11:38:00 gw sshd(pam_unix)[11221]: authentication
>         failure; logname= uid=0 euid=0 tty=ssh 
>         > ruser= rhost=66.192.113.8  user=root
>         > [...] se repiten constantemente
>         >
>         > sera un ataque de fuerza bruta ?? que se puede hacer ??
>         >
>         > datos:
>         > [@gw ~]# traceroute 66.192.113.8
>         > traceroute to 66.192.113.8 (66.192.113.8), 30 hops max, 38
>         byte packets
>         >   1  200.75.24.65 (200.75.24.65)  0.523 ms  0.810 ms  0.334
>         ms
>         >   2  200.55.210.62 (200.55.210.62)  0.579 ms  0.558
>         ms  0.531 ms
>         >   3  CORE-INT-1.gtdinternet.com (200.75.0.66)  0.649
>         ms  0.671 ms  0.596 ms
>         >   4  CORE-INT-2.gtdinternet.com (201.238.238.26)  0.959
>         ms  0.850 ms  0.806 ms
>         >   5  san1-gtd-1-cl.san.seabone.net (195.22.221.89)  109.892
>         ms  109.477 ms  109.273 ms
>         >   6  ash1-new1-racc1.new.seabone.net
>         (195.22.216.225)  153.307 ms  153.378 ms  153.707 ms
>         >   7  * * *
>         >   8  core-02-ge-0-3-0-1.asbn.twtelecom.net
>         (64.129.249.17)  146.813 ms  147.995 ms   147.139 ms
>         >   9  dist-02-so-0-0-0-0.roch.twtelecom.net
>         (66.192.240.8)  197.103 ms  158.303 ms  153.267 ms
>         > 10  hagg-02-ge-3-3-0-504.roch.twtelecom.net
>         (66.192.240.155)  152.857 ms  167.992 ms  159.473 ms
>         > 11  207.250.127.10 (207.250.127.10)  242.489 ms  213.470
>         ms  270.765 ms
>         > 12  mail.rochesterymca.org (66.192.113.8)  241.597
>         ms  282.269 ms  192.596 ms
>         >
>         >
>         > atte.
>         > --
>         > Roberto Leiva M.
>         > Santiago - Chile
>         
> 
> 
> 
> -- 
> Orlando Sojo.
> orlandosojo[at]gmail[dot]com
> User Linux Registered 344807.

Más información sobre la lista de distribución Linux