elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Sistemas Operativos
| |-+  GNU/Linux (Moderador: MinusFour)
| | |-+  Denegar Acceso a nuestro servidor / PC
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Denegar Acceso a nuestro servidor / PC  (Leído 3,656 veces)
Pablo Videla


Desconectado Desconectado

Mensajes: 2.274



Ver Perfil WWW
Denegar Acceso a nuestro servidor / PC
« en: 1 Septiembre 2011, 19:58 pm »

Hace poco detecte intrusos en el servidor en el cual administro intentando tener acceso desde el 2007 (Este año empece administrarlo, pero los log hablan por si solo) , mediante ssh  y ftp a través de fuerza bruta, lo más interesante de todo es que provenian desde China, Israel, dos ataques que detecte esta ultima semana. La solución no puede ser mas simple: La posteo porque a cualquier le podría servir, disculpenme si ya estaba.

Mediante netstat -n vi al intruso en mi conexion:

Código
  1. tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   ESTABLISHED
  2.  

en /etc/ hay un fichero llamado hosts.deny

lo modifcamos desde la consola

nano /etc/hosts.deny

le colocamos
SERVICIO:IP //con esto denegamos a la ip acceder a el servicio que colocaremos, pero en mi caso era mas drastico, no quiero gente intrusa en mi servdiro asi que le aplico la denegacion de todos mis servicios a esa ip


ALL:ip
Quedaría algo asi el fichero.
Código
  1. #
  2. # hosts.deny    This file describes the names of the hosts which are
  3. #               *not* allowed to use the local INET services, as decided
  4. #               by the '/usr/sbin/tcpd' server.
  5. #
  6. # The portmap line is redundant, but it is left to remind you that
  7. # the new secure portmap uses hosts.deny and hosts.allow.  In particular
  8. # you should know that NFS uses portmap!
  9. ALL: 193.105.99.122
  10. ALL: 218.28.4.58
  11. ALL: 121.14.118.4
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
Ahora despues de los cambios miren como cambio el estado de la conexion
Código
  1. tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   TIME_WAIT  
  2.  

Hasta desaparecer de las conexiones intrusas.


En línea

Slava_TZD
Wiki

Desconectado Desconectado

Mensajes: 1.466

♪ [8675309] ♪


Ver Perfil WWW
Re: Denegar Acceso a nuestro servidor / PC
« Respuesta #1 en: 1 Septiembre 2011, 20:08 pm »

Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc


« Última modificación: 1 Septiembre 2011, 20:09 pm por Tzhed » En línea


The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.
Pablo Videla


Desconectado Desconectado

Mensajes: 2.274



Ver Perfil WWW
Re: Denegar Acceso a nuestro servidor / PC
« Respuesta #2 en: 1 Septiembre 2011, 20:09 pm »

Jajajja no te niego eso, pero saca de apuro  :D
En línea

P-Joe

Desconectado Desconectado

Mensajes: 69


Intentamos mejorar cuando mejoramos intentando.


Ver Perfil WWW
Re: Denegar Acceso a nuestro servidor / PC
« Respuesta #3 en: 3 Septiembre 2011, 11:46 am »

Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc
¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.
En línea

Ten principios y no finales. // http://www.bitgamia.com/
Intel Core Duo Quad Q9550
Gigabyte EG45M-UD2H (G45 motherboard)
WDC Caviar Green SATA 3 Gb/s IntelliPower 500GB
Foxy Rider


Desconectado Desconectado

Mensajes: 2.407


Deprecated


Ver Perfil WWW
Re: Denegar Acceso a nuestro servidor / PC
« Respuesta #4 en: 3 Septiembre 2011, 13:59 pm »

¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.

Básicamente sería poner al puerto como "cerrado" (por ejemplo, no lanzando el servicio o denegando todas las IP), pero, si se manda una secuencia específica de paquetes a ese "puerto cerrado", se lanza el servicio o se lo habilita para X IP.
hay varios ejemplos dando vuelta por la red y creo que la wiki tiene algo de info. ( https://duckduckgo.com/?q=Port+Knocking )
Si querés una implementación "de muestra", fijate sobre knockd → https://duckduckgo.com/?q=knockd

En el resto concuerdo con Tzhed, es un tanto inelegante la "solución", ya que la seguridad se labura por capas ... y eso implica refinar la config/uso del daemon ssh, iptables (o el firewall que corresponda) y demás.

Saludos.

P.S: este tema no sé si vá en el área de seguridad o qué, pero bueno, de momento lo dejo acá  ~
En línea

P-Joe

Desconectado Desconectado

Mensajes: 69


Intentamos mejorar cuando mejoramos intentando.


Ver Perfil WWW
Re: Denegar Acceso a nuestro servidor / PC
« Respuesta #5 en: 4 Septiembre 2011, 21:29 pm »

Muchas gracias por la información, todo claro.
¡Saludos!
En línea

Ten principios y no finales. // http://www.bitgamia.com/
Intel Core Duo Quad Q9550
Gigabyte EG45M-UD2H (G45 motherboard)
WDC Caviar Green SATA 3 Gb/s IntelliPower 500GB
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Denegar Acceso a Archivo o Directorios [SUB]
.NET (C#, VB.NET, ASP)
Keyen Night 0 4,016 Último mensaje 10 Agosto 2009, 02:31 am
por Keyen Night
Denegar acceso por ip « 1 2 »
PHP
teudiss 12 7,128 Último mensaje 17 Abril 2010, 21:52 pm
por fede_cp
Denegar acceso al wifi sin filtrado mac. Como hacerlo? « 1 2 »
Hacking Wireless
sauces 16 15,827 Último mensaje 23 Diciembre 2011, 11:13 am
por Sh4k4
Denegar acceso a página web (Router Comtrend VR-3025un)
Redes
d3xf4ult 5 6,521 Último mensaje 22 Febrero 2012, 21:39 pm
por d3xf4ult
Ayuda han hackeado nuestro servidor solicitamos servicio de recuperacion.
Análisis y Diseño de Malware
ninjajr 1 2,124 Último mensaje 9 Julio 2014, 14:43 pm
por engel lex
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines