Imprimir Página - Denegar Acceso a nuestro servidor / PC

Título: Denegar Acceso a nuestro servidor / PC
Publicado por: Pablo Videla en 1 Septiembre 2011, 19:58 pm

Hace poco detecte intrusos en el servidor en el cual administro intentando tener acceso desde el 2007 (Este año empece administrarlo, pero los log hablan por si solo) , mediante ssh y ftp a través de fuerza bruta, lo más interesante de todo es que provenian desde China, Israel, dos ataques que detecte esta ultima semana. La solución no puede ser mas simple: La posteo porque a cualquier le podría servir, disculpenme si ya estaba.

Mediante netstat -n vi al intruso en mi conexion:

Código

tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   ESTABLISHED

en /etc/ hay un fichero llamado hosts.deny

lo modifcamos desde la consola

nano /etc/hosts.deny

le colocamos
SERVICIO:IP //con esto denegamos a la ip acceder a el servicio que colocaremos, pero en mi caso era mas drastico, no quiero gente intrusa en mi servdiro asi que le aplico la denegacion de todos mis servicios a esa ip

ALL:ip
Quedaría algo asi el fichero.

Código

#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
ALL: 193.105.99.122
ALL: 218.28.4.58
ALL: 121.14.118.4

Ahora despues de los cambios miren como cambio el estado de la conexion

Código

tcp        0      0 ::ffff:192.168.0.4:22       ::ffff:121.14.118.4:46583   TIME_WAIT

Hasta desaparecer de las conexiones intrusas.

Título: Re: Denegar Acceso a nuestro servidor / PC
Publicado por: Slava_TZD en 1 Septiembre 2011, 20:08 pm

Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc

Título: Re: Denegar Acceso a nuestro servidor / PC
Publicado por: Pablo Videla en 1 Septiembre 2011, 20:09 pm

Jajajja no te niego eso, pero saca de apuro :D

Título: Re: Denegar Acceso a nuestro servidor / PC
Publicado por: P-Joe en 3 Septiembre 2011, 11:46 am

Cita de: Tzhed en 1 Septiembre 2011, 20:08 pm

¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.

Título: Re: Denegar Acceso a nuestro servidor / PC
Publicado por: Foxy Rider en 3 Septiembre 2011, 13:59 pm

Cita de: P-Joe en 3 Septiembre 2011, 11:46 am

¿PortKnocking? ¿Qué es eso? ¿Para que sirve?
Gracias.

Básicamente sería poner al puerto como "cerrado" (por ejemplo, no lanzando el servicio o denegando todas las IP), pero, si se manda una secuencia específica de paquetes a ese "puerto cerrado", se lanza el servicio o se lo habilita para X IP.
hay varios ejemplos dando vuelta por la red y creo que la wiki tiene algo de info. ( https://duckduckgo.com/?q=Port+Knocking )
Si querés una implementación "de muestra", fijate sobre knockd → https://duckduckgo.com/?q=knockd

En el resto concuerdo con Tzhed, es un tanto inelegante la "solución", ya que la seguridad se labura por capas ... y eso implica refinar la config/uso del daemon ssh, iptables (o el firewall que corresponda) y demás.

Saludos.

P.S: este tema no sé si vá en el área de seguridad o qué, pero bueno, de momento lo dejo acá ~

Título: Re: Denegar Acceso a nuestro servidor / PC
Publicado por: P-Joe en 4 Septiembre 2011, 21:29 pm

Muchas gracias por la información, todo claro.
¡Saludos!

Foro de elhacker.net

Sistemas Operativos => GNU/Linux => Mensaje iniciado por: Pablo Videla en 1 Septiembre 2011, 19:58 pm