Re: [Ayuda] Ataque a ssh y apache

To: "Santiago" <lsantiago en wstation com>
Subject: Re: [Ayuda] Ataque a ssh y apache
From: mario en cancun com
Date: Mon, 10 Feb 2003 12:24:10 -0500
Cc: ayuda en linux org mx
List-archive: <https://pegaso.fisica.unam.mx/pipermail/ayuda/>
List-help: <mailto:ayuda-request@linux.org.mx?subject=help>
List-id: GNU/Linux help list <ayuda.linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-subscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=subscribe>
List-unsubscribe: <https://pegaso.fisica.unam.mx/mailman/listinfo/ayuda>, <mailto:ayuda-request@linux.org.mx?subject=unsubscribe>
Sender: ayuda-admin en linux org mx

Que tal,

Por ejemplo, si tu utilizas la direccion a.b.c.d, para accesar via ssh a tu server, puedes agreagar tu rango de acceso a hosts.allow, y al final, en este mismo archivo, agregar algo como:

ALL     : spawn=(/usr/sbin/safe_finger -l @%h | /root/nomuelas "%h" "%a" "%d" "%c" "%u") &: deny

Aqui el hosts.allow le permite al script "nomuelas" bloquear una direccion ip con el parametro que este le envia.

y tambien agregar la linea a hosts.deny, que actuara en lo quee temrmina de ejecutarse tu script "nomuelas" y que te enviara un correo cada que alguien se quiera pasar de vivo.

ALL: spawn=(/usr/sbin/safe_finger -l @%h | mail -s DENIED%h/%d/%a/U=%u tu_emeil@tu.dominio ) &:deny

Ahora, por ejemplo, el script "no muelas", recibe como parametro la direccion ip del supuesto atacante y ejecuta algo como:

ipchains -A input -s $ip -d 0/0 -j DENY

 (no recuerdo exactamente la sintaxis de ipchains)

suerte

Marinho.-


"Santiago" <lsantiago en wstation com> wrote ..
> Tengo un servidor de correos con RedHat 7.0,
> qmail y sqwebmail (para leer el correo a través del
> navegador) corriendo en apache 1.3. Los puertos que
> no son utilizados los mantengo cerrados con ipchains.
> También hemos instalados los parches de seguridad que
> Red Hat ha dado a conocer. 
> 
> Ademas, eliminamos ftp, wget, lynx y los compiladores
> para c y c++. La administración la hacemos con ssh. 
> 
> Pero ocacionalmente recibe ataques tratando de entrar.
> Hace como una semana, una alguién estuvo probando,
> diversos nombres al azar. En 15 minutos hicieron
> mas de 40,000 intentos de entrar. Usando desde nombres
> comunes como carlos, luis, hasta abc, abc123, prueba, xxx.
> Todas estas pruebas vinieron de la misma dirección IP,
> por lo cual yo supongo que utilizaron algun programa
> para realizarlas. 
> 
> Alguién me puede recomendar algun procedimiento o
> software para que detecte este tipo intentos y
> bloquear de manera automática la IP desde la cual
> vienen los intentos de acceso? 
> 
> Es importante señalar que no hay evidencias de que
> hayan logrado entrar al sistema. 
> 
> Agradeceré cualquier comentario.
> _______________________________________________
> Ayuda mailing list
> Ayuda en linux org mx
> Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/

Previo por Fecha: Re: [Ayuda] Recuperar www
Siguiente por Fecha: Re: [Ayuda] Temas de tesis
Previo por Hilo: RE: [Ayuda] Recuperar www
Siguiente por Hilo: [Ayuda] Instalando Extensiones de FP50

[Hilos de Discusión] [Fecha] [Tema] [Autor]