Tengo un srver con freeBSD y esta mañana al encender el monitor me encuentro esto:
Código:
Dec 15 08:36:50 manyblue sshd[62354]: reverse mapping checking getaddrinfo for host-41.35.85.224.tedata.net [41.35.85.224] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 15 08:36:51 manyblue sshd[62349]: error: PAM: authentication error for root from 89.204.50.236
Dec 15 08:36:51 manyblue sshd[62349]: Failed keyboard-interactive/pam for root from 89.204.50.236 port 4492 ssh2
Dec 15 08:36:51 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:51 manyblue sshd[62349]: error: PAM: authentication error for root from 89.204.50.236
Dec 15 08:36:51 manyblue sshd[62349]: Failed keyboard-interactive/pam for root from 89.204.50.236 port 4492 ssh2
Dec 15 08:36:51 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:52 manyblue sshd[62349]: error: PAM: authentication error for root from 89.204.50.236
Dec 15 08:36:52 manyblue sshd[62349]: Failed keyboard-interactive/pam for root from 89.204.50.236 port 4492 ssh2
Dec 15 08:36:52 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:52 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:52 manyblue sshd[62354]: Failed keyboard-interactive/pam for root from 41.35.85.224 port 3825 ssh2
Dec 15 08:36:52 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:52 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:53 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:53 manyblue sshd[62354]: Failed keyboard-interactive/pam for root from 41.35.85.224 port 3825 ssh2
Dec 15 08:36:53 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:53 manyblue sshd[62354]: error: PAM: authentication error for root from 41.35.85.224
Dec 15 08:36:53 manyblue sshd[62354]: Failed keyboard-interactive/pam for root from 41.35.85.224 port 3825 ssh2
Dec 15 08:36:53 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:53 manyblue sshd[62361]: Failed keyboard-interactive/pam for root from 95.52.45.132 port 4874 ssh2
Dec 15 08:36:54 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:54 manyblue sshd[62361]: Failed keyboard-interactive/pam for root from 95.52.45.132 port 4874 ssh2
Dec 15 08:36:54 manyblue sshd[62361]: error: PAM: authentication error for root from 95.52.45.132
Dec 15 08:36:54 manyblue sshd[62361]: Failed keyboard-interactive/pam for root from 95.52.45.132 port 4874 ssh2
Dec 15 08:36:55 manyblue sshd[62373]: error: PAM: authentication error for root from 89.204.50.236
Código:
41.32.0.0 - 41.47.255.255
TE Data
Mohamed Hamdy
TE Data,
Smart Village, Building A11-B90, Alex Desert Road,
28 Km
6th October 12577
Egypt
mohamed.hamdy@tedata.net
+2023320700
+2023320804
Ismail Saeed
11 Cleopatra Heliopolies, Cairo
Egypt
+202 4166600
+202 4166700
ismail.saeed@tedata.net
Código:
89.204.50.0 - 89.204.51.255
Dynamic distribution IP's for broadband services
OJSC Uralsvyazinform, a Tyumen subsidiary
Uralsvyazinform TFES Administration Staff
11, Moskovskaya str.
Yekaterinburg, 620014
Russian Federation
ipreg@tumen.usi.ru
Imagino que seran intentos de ataque ssh, me lo podeis explicar un poco ?
Que me recomendais para aumentar la seguridad ? no me digais que limite las ip que seria lo mejor por que me conecto via ssh desde muchos sitios y seria imposible para mi estar esclavizado con el server. Tampoco navegar con proxis pues sumado que mi conexion no es sobrada me relentizaria muchisimo dicha conexion.
Mi acceso a root es siempre via usuario y luego su
Podria hacer esto que he leido por ahi y me lo explicais por encima:
* Editas el fichero /etc/ssh/denyusers agregando en una linea la
palabra root.
* Limitar el número de reintentos de login (por ejemplo 5 o 6) y
poniendo un retardo de tiempo para evitar posibles ataques de fuerza
bruta.
*Limitar los usuarios que tienen acceso de modo estricto.
* Crear una key cifrada en un dispositivo usb para acceder...
SSH dota de una funcionalidad muy extensa, merece la pena leer la
documentación (reenvío de las X, ssh tunneling, etc)
Un ejemplo de fichero de configuración podría ser este
Código:
# $OpenBSD: sshd_config,v 1.75 2007/03/19 01:01:29 djm Exp $
Código:
# vi /etc/ssh/denyusers
No he añadido nada todavia pues mi actitud es siempre preguntar primero hacer despues pues todavia soy medio novato en esto, he editado este fichero "denyusers" y esta completamente vacio. Añadir estas lineas:
Código:
root
with
a
Protocol 2
HostKey /etc/ssh/ssh_host_dsa_key
/etc/ssh/ssh_known_hosts
IgnoreRhosts yes
PasswordAuthentication yes
PermitEmptyPasswords no
bypass
UsePAM no
X11Forwarding yes
TCPKeepAlive yes
UsePrivilegeSeparation yes
MaxStartups 16
PermitTunnel no
Banner /etc/ssh/banner.txt
Subsystem sftp /usr/lib64/ssh/sftp-server
Port 22
ListenAddress 0.0.0.0
SyslogFacility AUTH
LogLevel VERBOSE
AllowUsers xxx,yyyy,zzz
LoginGraceTime 300
KeepAlive yes
RSAAuthentication no
PubkeyAuthentication no
AuthorizedKeysFile .ssh/authorized_keys2
PasswordAuthentication yes
IgnoreRhosts yes
PermitEmptyPasswords no
Compression yes
StrictModes yes
PrintMotd yes
PrintLastLog yes
MaxAuthTries 6
Muchas gracias de antemano y un saludo atodos.