[AYUDA] servidor sobrecargado...

Abel Hernandez Zanatta azanatta en gmail.com
Mie Jun 9 08:59:27 CDT 2010 

Me uno a lo que comenta Gunnar que es muy cierto....
No hay recetas magicas para lograr la seguridad....
Y su opcion es muy buena, cambiar el ssh de puerto seguramente reducira
drasticamente estos intentos de logearse al server...
Un amigo lo hace y segun me ha comentado los ataques disminuyen casi un 95%

Otras opciones que ya te comentaron fail2ban...

Otra mas sshguard, yo lo he usado y funciona bastante bien.

-Abel



2010/6/9 Gunnar Wolf <gwolf en gwolf.org>

> Javier Delgado dijo [Mon, Jun 07, 2010 at 08:55:59PM -0500]:
> >(...)
>
> Me uno a los que apuntan a que tienes que meterte a estudiarle un poco
> más. No hay recetas mágicas para lograr la seguridad.
>
> > Por cierto.. ultimamente se han estado tratando de encontrar el root:
> >
> > Jun  7 10:24:14 cl-t030-261cl sshd[12994]: Failed password for root from
> 218.234.33.31 port 46101 ssh2
> > Jun  7 10:24:14 cl-t030-261cl sshd[12995]: Received disconnect from
> 218.234.33.31: 11: Bye Bye
> > Jun  7 10:24:17 cl-t030-261cl sshd[12997]: pam_unix(sshd:auth):
> authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
> rhost=218.234.33.31  user=root
> > Jun  7 10:24:19 cl-t030-261cl sshd[12997]: Failed password for root from
> 218.234.33.31 port 46398 ssh2
> > Jun  7 10:24:20 cl-t030-261cl sshd[12998]: Received disconnect from
> 218.234.33.31: 11: Bye Bye
> (...)
>
> Puedes limitar a, digamos, 4 conexiones por ssh de determinada IP por
> minuto:
>
>    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
>    iptables -A INPUT -s ! x.x.x.0/24 -p tcp --dport 22 -m state --state new
> -m recent --update --seconds 60 --hitcount 4 -j REJECT
>
> donde x.x.x.0/24 es tu red local. Podrías también mover tu servicio de
> ssh a otro puerto, si no tienes muchos usuarios que actualizar...
>
> > Jun  7 13:50:55 cl-t030-261cl sshd[32537]: Invalid user data from
> 189.19.82.231
> > Jun  7 13:50:55 cl-t030-261cl sshd[32539]: input_userauth_request:
> invalid user data
> > Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_unix(sshd:auth): check
> pass; user unknown
> > Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_unix(sshd:auth):
> authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=
> 189-19-82-231.dsl.telesp.net.br
> > Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_succeed_if(sshd:auth):
> error retrieving information about user data
> > Jun  7 13:50:58 cl-t030-261cl sshd[32537]: Failed password for invalid
> user data from 189.19.82.231 port 50966 ssh2
>
> No ganarías mucho bloqueando a Rusia si te atacan desde Brasil ;-)
>
> > y de estos:
> >
> > Jun  7 14:10:02 cl-t030-261cl su: pam_unix(su:session): session opened
> for user postgres by (uid=0)
> > Jun  7 14:10:02 cl-t030-261cl su: pam_unix(su:session): session closed
> for user postgres
> > Jun  7 14:15:03 cl-t030-261cl su: pam_unix(su:session): session opened
> for user postgres by (uid=0)
>
> Por esto no te preocupes, esto es de origen local (uid=0 es root, y
> adquirió la personalidad de Postgres)
>
> > Y claro.. un escaneo en forma alfabetica:
> > Jun  7 13:34:05 cl-t030-261cl sshd[30467]: input_userauth_request:
> invalid user alex
> > Jun  7 13:34:09 cl-t030-261cl sshd[30479]: input_userauth_request:
> invalid user alien
> > Jun  7 13:34:13 cl-t030-261cl sshd[30483]: input_userauth_request:
> invalid user alpuser
>
> Si limitas -como te dije más arriba- a pocas conexiones por minuto,
> haces mucho más lento el barrido. Y si mueves tu ssh a un puerto
> diferente, te proteges de los que hacen búsquedas aleatorias a lo que
> responda en puerto 22.
>
>
> --
> Gunnar Wolf • gwolf en gwolf.org • (+52-55)5623-0154 / 1451-2244
>
> --
> Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
> de Grupos de Google.
> Si quieres publicar en este grupo, envía un mensaje de correo
> electrónico a ayuda-linux en googlegroups.com
> Para anular la suscripción a este grupo, envía un mensaje a
> ayuda-linux-unsubscribe en googlegroups.com
> Para obtener más opciones, visita este grupo en
> http://groups.google.es/group/ayuda-linux?hl=es. o
> http://www.compunauta.com/ayuda/




-- 

-Abel

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20100609/a21f3669/attachment-0001.html>

Más información sobre la lista de distribución Ayuda