Abriendose a la Internet.


         

Resultados 1 al 4 de 4

  1. #1
    *nix powered Mod Avatar de caudio
    Fecha de Ingreso
    17 feb, 06
    Ubicación
    Cordoba, Argentina
    Mensajes
    2,032
    Compartir en:
    Compartir en Facebook  Compartir en Twitter

    Predeterminado Abriendose a la Internet.

    Empecemos con los hechos.

    Al tener una Pentium III de gateway, decidi tomarme el tiempo de compilar todo desde 0 e instalar un Gentoo con Kernel construido por mi y que estuviera optimizado al maximo para el poco hardware que tenia.

    Junto con mi nueva configuracion, decidi hacer un pequeño cambio en mi firewall.. uno chiquito para facilitarme la vida a mi.. Abrir el puerto 22....

    Antes de hacerlo me dije a mi mismo que iba a sufrir un peligro.. que seguramente alguien iba a escanear mi IP.. que lo iba a encontrar abierto y le iba a meter un ataque..
    Pero no pense que TAAAAN RAPIDO!!

    Mi servidorcito solo lleva 4 dias arriba!

    fakeuser@baikonur ~ $ uptime
    19:51:25 up 4 days, 8:19, 3 users, load average: 1.23, 1.09, 1.02


    Y esto es solo un extracto de los logs!!

    Código:
    Oct  1 17:25:02 baikonur sshd[13577]: Invalid user cuarentena from *********
    Oct  1 17:25:03 baikonur sshd[13579]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Oct  1 17:25:03 baikonur sshd[13579]: Invalid user cuenta1 from *********
    Oct  1 17:25:04 baikonur sshd[13581]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Oct  1 17:25:04 baikonur sshd[13581]: Invalid user cuenta10 from *********
    Oct  1 17:25:05 baikonur sshd[13583]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Oct  1 17:25:05 baikonur sshd[13583]: Invalid user cuenta11 from *********
    Oct  1 17:25:06 baikonur sshd[13585]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Oct  1 17:25:06 baikonur sshd[13585]: Invalid user cuenta12 from *********
    Oct  1 17:25:06 baikonur sshd[13587]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Oct  1 17:25:06 baikonur sshd[13587]: Invalid user cuenta13 from *********
    Oct  1 17:25:07 baikonur sshd[13589]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Oct  1 17:25:07 baikonur sshd[13589]: Invalid user cuenta14 from *********
    Oct  1 17:25:08 baikonur sshd[13591]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Oct  1 17:25:08 baikonur sshd[13591]: Invalid user cuenta15 from *********
    Oct  1 17:25:13 baikonur sshd[13593]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Oct  1 17:25:13 baikonur sshd[13593]: Invalid user cuenta16 from *********
    Oct  1 17:25:14 baikonur sshd[13595]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Oct  1 17:25:14 baikonur sshd[13595]: Invalid user cuenta17 from *********
    Oct  1 17:25:15 baikonur sshd[13597]: reverse mapping checking getaddrinfo for *********.static.tie.cl [*********] failed - POSSIBLE BREAK-IN ATTEMPT!
    Hay un chileno que me esta agarrando de boludo!!!

    por supuesto que banee la IP inmediatamente y ahora le meti un fail2ban al server, pero esto me demuestra que hacia mucho que no salia a la "calle".. tanto tiempo detras de mis hermosos muros parece que me hicieron blandito...


    __________________________________________________ _______
    En la caja ponia: Requiere Windows XP o superior... por eso instale Linux.
    http://www.nixlife.com.ar

  2. #2
    *nix powered Mod Avatar de caudio
    Fecha de Ingreso
    17 feb, 06
    Ubicación
    Cordoba, Argentina
    Mensajes
    2,032

    Predeterminado

    Update.

    Ahora tengo otro muchacho..

    Código:
    Oct  2 20:10:36 baikonur sshd[8500]: Invalid user oracle from ********
    Oct  2 20:10:39 baikonur sshd[8502]: Invalid user test from ********
    __________________________________________________ _______
    En la caja ponia: Requiere Windows XP o superior... por eso instale Linux.
    http://www.nixlife.com.ar

  3. #3
    Administrador Avatar de vgroup
    Fecha de Ingreso
    13 ago, 05
    Ubicación
    Zona Oeste
    Mensajes
    3,882

    Predeterminado

    E' así... la interné está jodida, mijo.

  4. #4
    *nix powered Mod Avatar de caudio
    Fecha de Ingreso
    17 feb, 06
    Ubicación
    Cordoba, Argentina
    Mensajes
    2,032

    Predeterminado

    Bueno.. desde ayer tengo a fail2ban funcionando en mi servidor casero, esperando por el chileno para que siga con su ataque de diccionario..
    Asi que aca les paso una mini guia para instalarlo. es en Gentoo pero en ubuntu por ejemplo solo cambia la instalacion por un hermoso "apt-get install fail2ban"


    En Gentoo:

    Código:
    emerge fail2ban
    Luego de que se termine de compilar:

    Vamos al archivo de configuracion :

    /etc/fail2ban/jail.conf

    y configuramos los parametros por defecto, y las jaulas que querramos activar, o sea los servicios que queremos monitorear con fail2ban

    en mi caso es:

    Código:
    [DEFAULT]
    # ignorar los intentos desde el servidor
    
    ignoreip = 127.0.0.1
    
    #Tiempo por defecto del ban
    
    bantime  = 600
    
    #Maximos intentos fallidos de logueo
    
    maxretry = 3
    
    # Esto describe el metodo que usa fail2ban para leer los logs y modificaciones en los mismos. esta en auto por defecto
    
    backend = auto
    
    #Aca empiezo con la configuracion especifica de la jaula para el servidor ssh.  en mi caso solo tengo ese servicio escuchando asi que solo #uso esa jaula
    
    [ssh-iptables]
    
    #Lo habilito
    enabled  = true
    #Elijo el filtro a usar
    filter   = sshd
    #La accion a tomar
    action   = iptables[name=SSH, port=ssh, protocol=tcp]
               sendmail-whois[name=SSH, dest=mimail@midominio.com.ar, sender=fail2ban@baikonur.midominio.com.ar]
    # El archivo donde revisar por failed logins. Cabe destacar que este archivo puede variar de acuerdo a la configuracion del demonio sshd
    
    logpath  = /var/log/messages
    #Maximos intentos fallidos.
    maxretry = 5
    Para Iniciarlo ejecutamos:

    Código:
    fail2ban-client start
    Para cargar nuevas configuraciones:

    Código:
    fail2ban-client reload
    Y para que inicie en nuestro gentoo al inicio del sistema:

    Código:
    rc-update add fail2ban default
    la anterior es una configuracion muy sencilla pero que funciona para evitar el tipo de ataques descriptos anteriormente. sin ir mas lejos. intentando yo mismo desde otro server entrar con login incorrecto veo al 5 intento una hermosa regla de iptables generada en rojo:


    Código:
    baikonur fail2ban # iptables -L | grep DROP
    Chain INPUT (policy DROP)
    Chain FORWARD (policy DROP)
    Chain OUTPUT (policy DROP)
    DROP       udp  --  anywhere             anywhere            udp dpt:epmap
    DROP       udp  --  anywhere             anywhere            udp dpt:microsoft-ds
    DROP       udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn
    DROP       udp  --  anywhere             anywhere            udp spt:netbios-ns dpts:1024:65535
    DROP       tcp  --  anywhere             anywhere            tcp dpt:epmap
    DROP       tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
    DROP       tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
    DROP       udp  --  anywhere             anywhere            udp dpt:1900
    DROP       udp  --  anywhere             anywhere            udp spt:domain
    DROP       udp  --  anywhere             anywhere            udp dpt:1900
    DROP       udp  --  anywhere             anywhere            udp spt:domain
    DROP       all  --  anywhere             255.255.255.255
    DROP       all  --  anywhere             192.168.2.255
    DROP       all  --  anywhere             255.255.255.255
    DROP       all  --  anywhere             BASE-ADDRESS.MCAST.NET/4
    DROP       all  --  anywhere             anywhere            state INVALID
    DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN
    DROP       all  --  ******.static.slicehost.net  anywhere
    LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:logdrop:DROP:'
    DROP       all  --  anywhere             anywhere
    LOG        all  --  anywhere             anywhere            LOG level info prefix `Shorewall:net2all:DROP:'
    DROP       all  --  anywhere             anywhere
    DROP       all  --  anywhere             255.255.255.255
    DROP       all  --  anywhere             192.168.2.255
    DROP       all  --  anywhere             255.255.255.255
    DROP       all  --  anywhere             BASE-ADDRESS.MCAST.NET/4
    DROP       all  --  255.255.255.255      anywhere
    DROP       all  --  BASE-ADDRESS.MCAST.NET/4  anywhere
    LOG        all  --  255.255.255.255      anywhere            LOG level info prefix `Shorewall:smurfs:DROP:'
    DROP       all  --  255.255.255.255      anywhere
    LOG        all  --  192.168.2.255        anywhere            LOG level info prefix `Shorewall:smurfs:DROP:'
    DROP       all  --  192.168.2.255        anywhere
    LOG        all  --  255.255.255.255      anywhere            LOG level info prefix `Shorewall:smurfs:DROP:'
    DROP       all  --  255.255.255.255      anywhere
    LOG        all  --  BASE-ADDRESS.MCAST.NET/4  anywhere            LOG level info prefix `Shorewall:smurfs:DROP:'
    DROP       all  --  BASE-ADDRESS.MCAST.NET/4  anywhere
    En resumen. Cada 5 intento fallido, la IP que lo genero recibe un ban temporal de 10 minutos. si bien no es un castigo demasiado extricto, logra dificultar el ataque, ya que te toma muchisimo tiempo el lograr pasar el diccionario completo. Si a esto le sumas un buen uso de claves, con una complejidad aceptable de ellas y el cambio de las mismas tras un tiempo determinado, seria raro que alguien pueda entrar de esta manera. Pero bueno, como siempre hay que recordar: "Security, is a state of mind"
    Última edición por caudio; 03/10/2010 a las 16:49
    __________________________________________________ _______
    En la caja ponia: Requiere Windows XP o superior... por eso instale Linux.
    http://www.nixlife.com.ar

Temas Similares

  1. key de AVG.internet.security8.5.325??
    Por cajondevida en el foro Spywares y Virus
    Respuestas: 2
    Último Mensaje: 27/04/2011, 13:49
  2. Ver Televisión por Internet
    Por Elgonza2006 en el foro Cine, TV, Radio y Espectáculos
    Respuestas: 4
    Último Mensaje: 04/11/2008, 14:35
  3. [Ofrecido] Internet Explorer 7
    Por MACcore en el foro Software y Otros
    Respuestas: 2
    Último Mensaje: 25/10/2006, 12:09

Publicidad  Contacto  Denuncias  Prensa  Labs  Reglas  RSS

Términos y condiciones  Políticas de privacidad

Búsqueda Avanzada
PRINCIPAL  FORO  LISTADOS DE ELINKS  CUENTA  AYUDA