Título: Denegar Acceso a nuestro servidor / PC Publicado por: Pablo Videla en 1 Septiembre 2011, 19:58 pm Hace poco detecte intrusos en el servidor en el cual administro intentando tener acceso desde el 2007 (Este año empece administrarlo, pero los log hablan por si solo) , mediante ssh y ftp a través de fuerza bruta, lo más interesante de todo es que provenian desde China, Israel, dos ataques que detecte esta ultima semana. La solución no puede ser mas simple: La posteo porque a cualquier le podría servir, disculpenme si ya estaba.
Mediante netstat -n vi al intruso en mi conexion: Código
en /etc/ hay un fichero llamado hosts.deny lo modifcamos desde la consola nano /etc/hosts.deny le colocamos SERVICIO:IP //con esto denegamos a la ip acceder a el servicio que colocaremos, pero en mi caso era mas drastico, no quiero gente intrusa en mi servdiro asi que le aplico la denegacion de todos mis servicios a esa ip ALL:ip Quedaría algo asi el fichero. Código Ahora despues de los cambios miren como cambio el estado de la conexion Código
Hasta desaparecer de las conexiones intrusas. Título: Re: Denegar Acceso a nuestro servidor / PC Publicado por: Slava_TZD en 1 Septiembre 2011, 20:08 pm Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc
Título: Re: Denegar Acceso a nuestro servidor / PC Publicado por: Pablo Videla en 1 Septiembre 2011, 20:09 pm Jajajja no te niego eso, pero saca de apuro :D
Título: Re: Denegar Acceso a nuestro servidor / PC Publicado por: P-Joe en 3 Septiembre 2011, 11:46 am Hay varias solucionas más limpias/correctas/elegantes que esa, una es solo permitir a determinadas ips la conexión a ssh, otra implementar PortKnocking si nunca tienes una ip de conexión fija, bloquear directamente todas las ips fuera del país si no tienes nada que compartir con extranjeros...etc ¿PortKnocking? ¿Qué es eso? ¿Para que sirve?Gracias. Título: Re: Denegar Acceso a nuestro servidor / PC Publicado por: Foxy Rider en 3 Septiembre 2011, 13:59 pm ¿PortKnocking? ¿Qué es eso? ¿Para que sirve? Gracias. Básicamente sería poner al puerto como "cerrado" (por ejemplo, no lanzando el servicio o denegando todas las IP), pero, si se manda una secuencia específica de paquetes a ese "puerto cerrado", se lanza el servicio o se lo habilita para X IP. hay varios ejemplos dando vuelta por la red y creo que la wiki tiene algo de info. ( https://duckduckgo.com/?q=Port+Knocking ) Si querés una implementación "de muestra", fijate sobre knockd → https://duckduckgo.com/?q=knockd En el resto concuerdo con Tzhed, es un tanto inelegante la "solución", ya que la seguridad se labura por capas ... y eso implica refinar la config/uso del daemon ssh, iptables (o el firewall que corresponda) y demás. Saludos. P.S: este tema no sé si vá en el área de seguridad o qué, pero bueno, de momento lo dejo acá ~ Título: Re: Denegar Acceso a nuestro servidor / PC Publicado por: P-Joe en 4 Septiembre 2011, 21:29 pm Muchas gracias por la información, todo claro.
¡Saludos! |