Bueno, este es el caso de un slackero y sus paranoias, el otro día me percaté de que había una ip extraña

tcp 0 0 192.168.1.118:35150 80.12.192.27:80 ESTABLISHED

Se conectó de 3 ips distintas y eso pues no me pareció nada bueno......
(80.12.192.0 - 80.12.192.255)

Por ahí leí de un rango parecido de ips que eran unos scans para ssh así que me pregunté a mí mismo: (tengo activado ssh o qué?)

Resultó ser que sí y encima el login era para root ¬¬

Como nunca pienso usar ssh, ni telnet, ni smpt quisiera saber cómo puedo desactivar todos estos servicios o qué me sugieren.

Todo lo que encuentro en san google es cómo desactivar ssh en el iphone ¬¬

Además, si alguien sabe lo que es esa ip se lo agradezco

Los que usen slackware si me pueden hacer un favor:

En cuanto prendan su PC y conecten a internet: netstat -tun

He estado pensando que quizá busque actualizaciones o una cosa así y nomás esté de paranóico. Pero no está de más eliminar esos servicios que nunca voy a usar xD.

Saludos! y gracias de antemano

Mi humilde consejo es que desactives TODO lo que ya sabes que no vas a usar. Yo tenia un manual sobre segurizacion que trataba ssh y muchos topics mas, el link que guardé esta roto pero en la pc del laburo me lo habia bajado a un txt. Te lo busco el lunes, tal vez te sirva


EDIT:
http://www.google.com.ar/search?q=man+s ... =firefox-a
http://www.google.com.ar/search?hl=es&c ... %3Dlang_es

No veo nada del iphone por ahi , espero que te sirva!

Desisntala el ssh server, con eso creo que bastara (en cuanto a las , conexiones por ssh). Tambien puedes boquear el trafico del puerto 22 por iptables.

Saludos

COmo dice francisco desinstala el openssh-server, y instala fail2ban, el fail2ban te da un poco mas de seguridad ya que cualquier intento de acceso remoto y en el cual se erre la pass genera que la ip sea bloqueada.-
Para lo otro ayudaria saber que distro usas ya que cada uno trabaja de manera diferente, pero en general en /etc/init.d se encuentan los script de arranque, ahi tenes dos opciones o anular el script en distros basadas en debian seria update-rc.d o en algunos casos el mismo script de arranque contiene una linea que indica que no arranque en el inicio de la maquina.-
El smtp no te recomiendo que lo desactives, ya que el sistema lo usa para mandarse mensajes por decirlo de alguna manera.-

El smtp te conviene filtrarlo tambien mediante algun firewall o el iptables si no tenes ninguno adicional. Que no entre nada por ese puerto (y no se hasta que punto que no salga tampoco).

Salu2!

Seh, creo que el smtp lo puedo filtrar para todo lo que no sea de salida y destino 127.0.0.1

Más que el hecho de que conecten a ese servicio es el hecho de que se pueda exploitear

PD: nadie supo qué son esas ip's?

tcp 0 0 192.168.1.118:35150 80.12.192.27:80 ESTABLISHED
tcp 0 0 192.168.1.118:36114 80.12.192.41:80 ESTABLISHED
tcp 0 0 192.168.1.118:37316 80.12.192.40:80 ESTABLISHED

Aunque digan por el purto 80, no tenía ningún browser abierto ¬¬

Saludos y gracias por las respuestas a todos

PD: uso Slackware 12.1

Nunca se te ocurrio hacerles un dig a esos ip,fijate que hay un topic en esta seccion en la que un tipo comento hace un tiempo unas medidas que tomo frente a unos intentos de crackeo de su sistema.
Te tiraría el link del topic pero estoy peleando con c++ ahora XD

por cierto, bien ahi usando slackware

Un dig no, pero sí un whois y whereis xD

Está en montreaux francia y demás, después de navergar paranóicamente por internet, encontré mi alivio:

Akamai (que muestra el whois) es una empresa que da servicio soporte para el tráfico de microsoft.

Esto salió en un artículo de netcraft donde se preguntaban por qué microsoft.com aparecía en un servidor linux (Akamai sólo usa linux)

Por tanto tengo idea de que sucede lo siguiente:

tcp 0 0 192.168.1.118:48574 207.46.110.39:1863 ESTABLISHED

Esa ip es donde se encuentra un bot para el el msn messenger.
Al enviar un mensaje aparece otra ip de microsoft, pero esto antes, se procesa por 207.46.110.39 y dice hacia qué server va que tenga un MSNP
en caso de estar muy saturado se redirige a un server de Akamai y eso explica la conexión de la ip 80.12.xx.xx (creo que sí era así)

Algo así ha de pasar por ahí....... así por si a alguno le pasa no sufra lo mismo que yo xD

Igual queda saber lo que es netrax, pero ya estoy más tranquilo

Todo comenzó cuando leí un post en security focus donde una ip de un rango cercano estaba haciendo un scan al ssh xD

Igual no está demás desactivarlos si no los voy a necesitar.

A ver si luego con más calma me ayudas a buscar el topic del que hablas porque no lo encuentro =/

Saludos! y gracias por las respuestas

Hola lSaKenl, espero ser mas amigable esta vez

Revisa el archivo /etc/rc.d/rc.M. Por lo menos en Slack 7.1 se encargaba de arrancar los servicios, no creo que haya variado mucho hasta la 12.1.

Por otro lado, los ataques a SSH son de lo mas normal del mundo. Como vos bien decis, si no estas utilizando ese servicio, entonces desinstala el programa directamente.

Si el servicio es necesario, entonces ponelo a escuchar en un puerto diferente al por defecto. Por ejemplo, en el archivo de configuraicon del SSHD indicas puerto 10022 o el que quieras. Los escaneos se detendran automaticamente.

Por otro lado, si el servicio no debe estar escuchando en la interfase de Internet, entonces es preferible no "bindearlo" antes de protegerlo con iptables. No olvidar que iptables es un programa y puede ser atacado como cualquier otro.

Slds.

Me olvidaba, hay varios sitios en Internet que ofrecen el servicio de determinar pais/ciudad de una IP, este incluso ofrece el mapita de google maps:

http://www.ipaddresslocation.org/ip-add ... cation.php

Slds.

Me parece genial eso de cambiar el puerto, es muy efectiva esa medida.



No entendi la parte de "bindearlo"
Te molestarias en explicar un poquito mas ese concepto?

gracias!!

Gracias por la respuesta pataro

Me parece una excelente idea eso de cambiarle el puerto al listener aunque mejor lo desactivo como dices.

Ya sólo me queda esto en:

netstat -p.u.t.a. | grep LISTEN

(Sin los puntos, es que me lo cambiaba a "mujer de mala reputación" xD)

tcp 0 0 *:time *:* LISTEN -
tcp 0 0 *:902 *:* LISTEN -
tcp 0 0 *:x11 *:* LISTEN -
tcp 0 0 *:auth *:* LISTEN -
tcp 0 0 *:domain *:* LISTEN -
tcp 0 0 localhost:ipp *:* LISTEN -
tcp6 0 0 [::]:x11 [::]:* LISTEN -
tcp6 0 0 [::]:domain [::]:* LISTEN

Aunque no sé qué son (la mayoría)

A ver si alguien me puede echar una mano con eso

Gracias!

Saludos!

Una vez más gracias por la respuesta pataro

El ssh no estaba en ese archivo, estaba en rc.inet2, pero lo descubrí porque estaba en el archivo que tú dijiste.

De la misma forma en el rc.M estaba samba y sendmail o.O yo para qué los quiero? xD

Saludos! y Gracias!

Para dnk:

Cuando un equipo tiene mas de una interfase de red es posible indicarle al servicio que escuche solamente en una o algunas de ellas. Aplicaciones como Samba, Apache, OpenSSH-server, etc. permiten esta configuracion. ¿Que ventajas tiene esto?, bueno, supongamos que tenemos un servidor conectado a una red local y ademas a Internet. También, tenemos varios servicios como Apache (sirviendo paginas a Internet), OpenSSH (para acceso a terminal) y Samba (solo acceso local). Obviamente, los puertos de Samba no queremos publicarlos a Internet, con lo cual tenemos 2 alternativas: protegerlos con iptables o indicarle a samba que abra los puertos solo a la interfase local. Esto se llama "bindear" o "atar".
No todos los servicios cuentan con esta posibilidad.

Obviamente es mucho mejor (en cuestiones de seguridad) no abrir los puertos en aquellas interfases que no se quiera que utilizar iptables para protegerlos.

Para lSaKenl:

time: es un servico de hora de Internet.
902: ¿quizas un vmware? no estoy seguro...
x11: el XDMP
auth: el inetd
domain: DNS server

los servicios time y auth los desactivas desde /etc/inetd.conf. El resto, de sus archivos de configuracion correspondientes.

Slds.

Nuevamente gracias por tus respuestas

Saludos!