No paro de sufrir ataques e intentos de logueo

vtolino · 08-jun-2008, 00:09

hola

no paro de recibir ataques e intentos de logueo y de envio de spam. estoy harto de recibir notificaciones de logwatch diciendome las millones de veces q intentan entrar (y fijo q entraran). sabeis de alguna guia q reuna los tips o consejos mas importantes para hacer mas seguro mi servidor. gracias.

ejemplo de lo q me pasa:

Código:

--------------------- pam_unix Begin ------------------------ 

 sshd:
    Authentication Failures:
       unknown (ns352025.ovh.net): 1042 Time(s)
       root (ns352025.ovh.net): 24 Time(s)
       unknown (mail.clinicasanfranciscoecuador.com): 5 Time(s)
       unknown (seus.clinicasanfranciscoecuador.com): 4 Time(s)
       postfix (ns352025.ovh.net): 3 Time(s)
       root (mail.clinicasanfranciscoecuador.com): 3 Time(s)
       root (seus.clinicasanfranciscoecuador.com): 3 Time(s)
       cpanel (ns352025.ovh.net): 1 Time(s)
       games (ns352025.ovh.net): 1 Time(s)
       mail (ns352025.ovh.net): 1 Time(s)
       news (ns352025.ovh.net): 1 Time(s)
       unknown (202.205.109.216): 1 Time(s)
       unknown (75-165-230-1.slkc.qwest.net): 1 Time(s)
    Invalid Users:
       Unknown Account: 1053 Time(s)
 
 
 ---------------------- pam_unix End -------------------------

Código:

 pam_succeed_if(sshd:auth): error retrieving information about user bryan : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user dfarrell : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user baseball : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user freddy : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user come : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user abraham : 1 time(s)
 pam_succeed_if(sshd:auth): error retrieving information about user emaillist : 1 time(s)

gracias!

Expel · 08-jun-2008, 00:22

¿es una máquina de hosting?

es decir, ¿en ella alojas varios sitios de clientes?

800-HELP.com · 08-jun-2008, 01:41

Saludos,

Lamentablemente es parte de tener un servidor conectado a Internet

No puedes hacer mucho por evitar los ataques sino protegerte bien de ellos:

Algunas consejos:

- Utilizar un detector de fuerza bruta que bloquee la ip del atacante durante cierto tiempo.

- Cambiar el puerto standard de ssh

- No permitir el login directo de root

Expel · 08-jun-2008, 01:44

Primero, contrata a un administrador de sistemas. Por lo visto, no tienes conocimientos acerca de cómo actuar en estos casos.

Acude a algún servicio de administración. Algunas empresas de este foro lo ofrecen. Puedes contactar con ellas.

Apolo · 08-jun-2008, 05:42

Muevo el tema desde el foro de Software para hosting y Paneles de control hacia el foro de Asuntos Técnicos, Seguridad y Configuración.

Puedo agregar que una cosa son los simples intentos y otra muy distinta que sean intentos exitosos. Si estás preocupado por lo primero, la única solución real y 100% efectiva es desconectar tu máquina de Internet.

Ya una opción menos radical y fácil de implementar consiste en dos estrategias:

1. Usa siempre claves muy largas y seguras, mínimo 10 caracteres y combinación de letras, números y símbolos. Por ejemplo:

g7$mAR#L2.p

(no, no es un madrazo, es una clave)

2. Mantén todo actualizado.

No lo es "todo", pero te allana una gran parte del camino.

Y si estás preocupado por lo segundo y de todas formas sigues preocupado por lo primero, contrata un servicio administrado.

Saludos,

Andaina.net · 08-jun-2008, 11:21

Mi consejo es:
a) Que banees las IPs
b) Que contactes con tu proveedor para que se ponga en contacto con el proveedor del otro ataque para que o bien le quite los servicios o le retire la ip.

Últimamente en Europa usan mucho servidores de OVH para ataques.

ferranvillalba · 08-jun-2008, 11:57

Instalate BFD en tu servidor junto a APF Firewall.

http://www.dedicated-resources.com/g...Firewall).html

http://www.dedicated-resources.com/g...etection).html

Asegúrate que cuando instales APF abras los puertos, más sobre todo el 22 de ssh, que a mí una vez me paso que no abrí ni el 22 y deje un VPS capado, hasta que contacte con los de soporte y me los abrieron.

ferranvillalba · 08-jun-2008, 12:01

Cita:

Iniciado por Apolo

g7$mAR#L2.p

Apolo entonces yo si uso contraseñas más seguras y más largas que esa, querrá decir que soy un Geek de las contraseñas no?

Incluso llego a usar para el correo personal de ese tipo. Que la gente cuando ve que pongo tantos caracteres, me dicen, tú que contraseñas usas una de mil caracteres?

Ya verás tú el día en que se me olviden, voy a liar una de las gordas, encima para cada cuenta una distinta.

HostingDN · 08-jun-2008, 16:43

Yo como muchos recomiendo lo mismo que ya se dijo

1. Instala BFD
2. Usa una contraseña larga de almenos 10 caracteres usando numeros, letras y simbolos.
3. Yo en mi caso la cambio una vez al mes (se que suena algo extremista pero siempre es bueno tomar varias medidas)

Andaina.net · 08-jun-2008, 19:23

No creo que haga falta cambiar una vez al mes, si detectas que estan probando roots, entonces si pero cambiarla en tan corto plazo sin motivos.

vtolino · 08-jun-2008, 20:56

hola, muchas gracias por contestar.

a las preguntas lanzadas contesto:

1- el servidor en cuestion es solo para uso personal. tengo un foro, un blog y la pagina de la clase de la carrera. es de estos baratos y asi aprovechamos tb el espacio para pasarnos pdfs y cosas asi. no hay ningun usuario en el cpanel a parte del "mio" y tampoco lo va a ver.

2-si, podria contratar un servicio de administracion. pero para lo que lo uso, nada profesional, todo personal y de la carrera no creo que haga falta.

3-soy novatisimo en esto y me gustaria aprender de forma amateur y sin pretensiones profesionales a administrar un servidor para que funcione de forma "medianamente" bien. no pienso dedicarme a esto en un futuro, no es lo que estoy estudiando.

4-con lo q me habeis dicho ya se por donde van los tiros y creo que puedo actuar en consecuencia y hacerlo "medianamente" bien, jejejeje.

5 y ultimo MUCHAS GRACIAS a todos.

ferranvillalba · 08-jun-2008, 21:40

Cita:

Iniciado por Andaina.net

No creo que haga falta cambiar una vez al mes, si detectas que estan probando roots, entonces si pero cambiarla en tan corto plazo sin motivos.

Hombre mejor siempre ser paranoico que no serlo, yo cada x tiempo también las suelo cambiar.

Quemeros · 08-jul-2008, 01:37

Algo que no lei que escribieran, aunque es extremista pero util...
es que ademas de blockear el logeo remoto del root, cambiarle el puerto a uno muy alto preferentemente, hagas los siguiente:
Deja un unico usuario para acceder que tenga un nombre como si fuera una clave, o sea un nick: U$u4R10... por ejemplo, con una muy buena clave (como ya dijeron) pero con privilegios minimos, para solamente luego hacer su/do...
Asi tenes 2 niveles mas de proteccion :)... pq el robot tiene q descubrir tu nombre de usuario extraño, esa clave y la del root de antes... ademas de que si llegan a entrar al usuairo 1, se van a quedar estancados ahi y vos te vas a poder enterar muy facil para cambiar la clave...
Por ultimo podes hacer logeo por clave en archivo tb :P ... aunque ya desconosco el funcionamiento de esto, buscalo, que existe xD.

west-domains · 09-jul-2008, 04:44

he leido muy buenos consejos aqui lo cual me alegra de saber que la gente cuida de la seguridad de sus servidores ( hay mas idea de seguridad en el mundo y eso nos hace un poco mas seguro el mundo a todos ).

una sugerencia que también creo puede serles viable ( aunque si requerirá conocimientos medios o mas de unix ) es utilizar autenticación por ssh keys.
y dejar de utilizar la autenticación por passwords.

la razón de esto es que esa key solo pertenecerá a una y solo una persona o pc que posee ese codigo encriptado. ( el mismo principio de PGP ... clave privada y publica ).

almenos si es un servidor al que solo tienen acceso ciertas personas y nadie mas .. tendrás la seguridad que esas pcs y solo esas tendran acceso al equipo.. sin importar cuantos trillones de veces intenten loguearse desde otros lados. ( siempre hablando de SSH claro está )..

tranquilamente pueden sumar esto a todas las sugerencias que he leido aqui ..

ssh en puertos altos.
restringir el acceso ssh a una sola ip
utilizar portsentry o bfd u otros metodos para filtrado automatico de logins por fuerza bruta.

todo suma en seguridad..

Saludos.

P.D.: Si a alguno le interesa un poco mas sobre ssh keys luego puedo hacer alguna guía para su utilización y posibilidades de aplicación.

( muy util para algunos que deseen sincronizar servidores al mismo tiempo por scripting o multicopiado de archivos entre servidores .. y todo si necesidad de authenticarse ..) ya puedo ver a los c0d3rs de shells relamerse. jejeje

Tony_Medina · 09-jul-2008, 21:32

Siempre, siempre... negar el acceso root por ssh. Acceder como otro usuario y escalar a root una vez dentro. (además BFD y APF ya mencionados, van muy bien)

ferranvillalba · 10-jul-2008, 01:03

Cita:

Iniciado por Tony_Medina

Siempre, siempre... negar el acceso root por ssh. Acceder como otro usuario y escalar a root una vez dentro. (además BFD y APF ya mencionados, van muy bien)

Otro apunte: Cambiar el puerto de ssh (22) por uno más alto como por ejemplo: 2222 y instala fail2ban para que te banee la ip que te ataca por fuerza bruta, luego ya si quieres haz hardening en ssh y solo apunta para que puedas entrar con la ip local de tú rango 127.0.0.

Tony_Medina · 10-jul-2008, 03:35

Buen apunte Ferranvillalba. Vamos a echarle un ojo al fail2ban. Sabes si es compatible con apf en vez de con shorewall?