[AYUDA] servidor sobrecargado...
Miguel Guirao
miguel.guirao en mail.telcel.com
Mie Jun 9 09:17:03 CDT 2010
Lo de mover el servicio de SSH a otro puerto es una actividad de contención
temporal, pero deberías de tomar mejores soluciones como solución
definitiva.
En general, veo que tienes problemas con paswords debiles, te aconsejo usar
algún PAM que te ayude a implementar politicas para contraseñas más
robustas. La clasica de caracteres más numeros ya no es garantía con la
existencia de las herramientas para romper paswwords, especialmente por
fuerza bruta o hibrida (diccionario+fuerza bruta).
Manten tu sistema actualizado, quita todo aquello que no te sirva,
especialmente el compilador de C, C++, librerias de Perl u cualquier otro
lenguaje. Elimina las herramientas de make!! Para evitar que compilen código
fuente en tu sistema.
Consultar tus logs de manera diaria ayuda mucho!!
Si tu sistema ya fue comprometido con un usuario con nivel de privilegios de
root, lo mejor es reinstalar el sistema desde un medio seguro, todo esto si
no logras determinar cual fue el ventor de ataque.
Por último, cambien el subject del correo cuando ya se cambien a otro tema!!
Ya me perdi todo el hilo!!!!
My two niquel cents!!
Chicolinux
-----Original Message-----
From: ayuda-linux en googlegroups.com [mailto:ayuda-linux en googlegroups.com] On
Behalf Of Gunnar Wolf
Sent: Wednesday, June 09, 2010 8:26 AM
To: ayuda-linux en googlegroups.com
Subject: Re: [AYUDA] servidor sobrecargado...
Javier Delgado dijo [Mon, Jun 07, 2010 at 08:55:59PM -0500]:
>(...)
Me uno a los que apuntan a que tienes que meterte a estudiarle un poco
más. No hay recetas mágicas para lograr la seguridad.
> Por cierto.. ultimamente se han estado tratando de encontrar el root:
>
> Jun 7 10:24:14 cl-t030-261cl sshd[12994]: Failed password for root from
218.234.33.31 port 46101 ssh2
> Jun 7 10:24:14 cl-t030-261cl sshd[12995]: Received disconnect from
218.234.33.31: 11: Bye Bye
> Jun 7 10:24:17 cl-t030-261cl sshd[12997]: pam_unix(sshd:auth):
authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=218.234.33.31 user=root
> Jun 7 10:24:19 cl-t030-261cl sshd[12997]: Failed password for root from
218.234.33.31 port 46398 ssh2
> Jun 7 10:24:20 cl-t030-261cl sshd[12998]: Received disconnect from
218.234.33.31: 11: Bye Bye
(...)
Puedes limitar a, digamos, 4 conexiones por ssh de determinada IP por
minuto:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -s ! x.x.x.0/24 -p tcp --dport 22 -m state --state new
-m recent --update --seconds 60 --hitcount 4 -j REJECT
donde x.x.x.0/24 es tu red local. Podrías también mover tu servicio de
ssh a otro puerto, si no tienes muchos usuarios que actualizar...
> Jun 7 13:50:55 cl-t030-261cl sshd[32537]: Invalid user data from
189.19.82.231
> Jun 7 13:50:55 cl-t030-261cl sshd[32539]: input_userauth_request: invalid
user data
> Jun 7 13:50:55 cl-t030-261cl sshd[32537]: pam_unix(sshd:auth): check
pass; user unknown
> Jun 7 13:50:55 cl-t030-261cl sshd[32537]: pam_unix(sshd:auth):
authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=189-19-82-231.dsl.telesp.net.br
> Jun 7 13:50:55 cl-t030-261cl sshd[32537]: pam_succeed_if(sshd:auth):
error retrieving information about user data
> Jun 7 13:50:58 cl-t030-261cl sshd[32537]: Failed password for invalid
user data from 189.19.82.231 port 50966 ssh2
No ganarías mucho bloqueando a Rusia si te atacan desde Brasil ;-)
> y de estos:
>
> Jun 7 14:10:02 cl-t030-261cl su: pam_unix(su:session): session opened for
user postgres by (uid=0)
> Jun 7 14:10:02 cl-t030-261cl su: pam_unix(su:session): session closed for
user postgres
> Jun 7 14:15:03 cl-t030-261cl su: pam_unix(su:session): session opened for
user postgres by (uid=0)
Por esto no te preocupes, esto es de origen local (uid=0 es root, y
adquirió la personalidad de Postgres)
> Y claro.. un escaneo en forma alfabetica:
> Jun 7 13:34:05 cl-t030-261cl sshd[30467]: input_userauth_request: invalid
user alex
> Jun 7 13:34:09 cl-t030-261cl sshd[30479]: input_userauth_request: invalid
user alien
> Jun 7 13:34:13 cl-t030-261cl sshd[30483]: input_userauth_request: invalid
user alpuser
Si limitas -como te dije más arriba- a pocas conexiones por minuto,
haces mucho más lento el barrido. Y si mueves tu ssh a un puerto
diferente, te proteges de los que hacen búsquedas aleatorias a lo que
responda en puerto 22.
--
Gunnar Wolf • gwolf en gwolf.org • (+52-55)5623-0154 / 1451-2244
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o
http://www.compunauta.com/ayuda/
--
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
Más información sobre la lista de distribución Ayuda