Reglamento general de los foros   •   FAQ   •   Buscar en el foro •  Registrarse | Iniciar sesión 



Portada » Foros Linux » Administración del sistema » Seguridad


Nuevo tema Responder al tema
 [ 8 mensajes ] 
Patrocinadores

Autor
Buscar:
Mensaje

Desconectado
Forista Mayor
Forista Mayor

Registrado: Vie Dic 16, 2005 8:00 am
Mensajes: 540

Nota Publicado: Vie Ene 13, 2006 5:54 pm 
Arriba  
hola.... lo que ocurre es que me sale el mensaje de que me estan escaneando los puertos, al menos 3 o 4 veces al dia..... aunque no tengo nada importante que pueda interesarle a nadie, es posible que accedan a mi pc de algun modo? como se si esto esta sucediendo? y que hago para evitarlo... gracias.....

 Perfil  

Desconectado
Forista Menor
Forista Menor
Avatar de Usuario

Registrado: Lun Dic 26, 2005 8:00 am
Mensajes: 52

Nota Publicado: Vie Ene 13, 2006 7:38 pm 
Arriba  
Es muy probable que lo que esten intentando es entrarse a tu maquina, recuerda que el scanneo de puertos es uno de los primeros pasos para iniciar un ataque, tu dices que no tienes info de importancia, pero el peligro esta en las cosas que te puedan instalar, ademas a nadie le gusta que tomen el mando de su PC, cierra los puertos que no estes usando, debes tener varios abiertos por defecto, dependiendo si tu equipo pertenece a un dominio, el netCat te puede ayudar a cerrar algunos puertos, sino quires hacerlo de forma manual, ademas instalate un firewall, si eres mas paranoico un IDS.
saludos.

 Perfil  

Desconectado
Miembro ETEL
Miembro ETEL
Avatar de Usuario

Registrado: Mar Jun 07, 2005 7:00 am
Mensajes: 1162
Ubicación: En tus pesadillas

Nota Publicado: Vie Ene 13, 2006 11:44 pm 
Arriba  
asdf_fdsa escribió:
lo que ocurre es que me sale el mensaje de que me estan escaneando los puertos, a


¿Ese mensaje proviene de un IDS como snort?
No solo debes cerrar puertos, además debes cortar los servicios que no sean necesarios ( web, mysql, telnet, etc ).

_________________
Slack in peace
Usuario Linux # 385639
http://www.meleagro.es.kz
Participa en #espaciolinux - irc.freenode.net

 Perfil WWW  

Desconectado
Forista Mayor
Forista Mayor

Registrado: Vie Dic 16, 2005 8:00 am
Mensajes: 540

Nota Publicado: Lun Ene 30, 2006 3:55 pm 
Arriba  
Hola... no se lo que es un IDS, el mensaje me dice que el firewall detecto un atque del tipo: scan. Y sale el ip del "atacante" (eso creo), como sé cuales son los puertos que no utilizo? (aún no se nada sobre puertos)... Gracias

 Perfil  

Desconectado
Miembro ETEL
Miembro ETEL
Avatar de Usuario

Registrado: Mar Jun 07, 2005 7:00 am
Mensajes: 1162
Ubicación: En tus pesadillas

Nota Publicado: Lun Ene 30, 2006 3:57 pm 
Arriba  
¿Puedes poner el mensaje concreto aunque sea sin poner la ip del atacante?
¿Y qué firewall te lo ha detectado?

Saludos !!

_________________
Slack in peace
Usuario Linux # 385639
http://www.meleagro.es.kz
Participa en #espaciolinux - irc.freenode.net

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo
Avatar de Usuario

Registrado: Jue Ene 26, 2006 8:00 am
Mensajes: 2

Nota Publicado: Mar Ene 31, 2006 2:56 am 
Arriba  
Instala:

  • Cortafuegos (iptables)
  • Portsentry + Snort + ACID (necesitas MySQL si quieres usar ACID).
  • Chkrootkit y AIDE
  • Router con NAT a los puertos de tu servidor si procede


Con eso podrás ver quien te ataca, detectar y prevenir cierto tipo de ataque e incluso detectar una posible penetración en el sistema, demás con PortSentry dejaran de molestarte durante un tiempo.

Si usas SSH ponlo en un puerto no estandart (típicamente 443 o 2222) y no permitas logueos por parte de root ni con clave en blanco, usa siempre una versión reciente y mínimamente segura de SSH o Apache (servidor web) si lo usas.

No confies en ningún otro host, o sea, nada de relaciones de confianza.

Si además tienes tiempo implementa en tu sistema un mecanismo de "Port-Knocking" esto hará que tu problema quede solventado y tu read sea BASTANTE más segura, por supuesto no es infalible.

un saludo.

 Perfil  

Desconectado
Forista Mayor
Forista Mayor

Registrado: Vie Dic 16, 2005 8:00 am
Mensajes: 540

Nota Publicado: Vie Feb 03, 2006 7:32 pm 
Arriba  
Bueno meleagro, sale un mensaje del Interactive firewall:


Interactive Firewall

Un ataque al puerto 1027 (creo) ha sido detectado


cuando doy clic donde me salio el mensaje sale:


Interactive Firewall

fecha Attacker Atack type Servicio Interfaz de red Protocolo
vie... 57.62.62.66 port scanning 1027 eth0 udp

Citar:
nstala:


* Cortafuegos (iptables)
* Portsentry + Snort + ACID (necesitas MySQL si quieres usar ACID).
* Chkrootkit y AIDE
* Router con NAT a los puertos de tu servidor si procede



Con eso podrás ver quien te ataca, detectar y prevenir cierto tipo de ataque e incluso detectar una posible penetración en el sistema, demás con PortSentry dejaran de molestarte durante un tiempo.

Si usas SSH ponlo en un puerto no estandart (típicamente 443 o 2222) y no permitas logueos por parte de root ni con clave en blanco, usa siempre una versión reciente y mínimamente segura de SSH o Apache (servidor web) si lo usas.


Apenas sé lo que es un firewall... alguna sugerencia, ayuda, etc? gracias.

 Perfil  

Desconectado
Miembro ETEL
Miembro ETEL
Avatar de Usuario

Registrado: Mar Jun 07, 2005 7:00 am
Mensajes: 1162
Ubicación: En tus pesadillas

Nota Publicado: Sab Feb 04, 2006 4:47 pm 
Arriba  
Un escaneo de puertos no es en realidad un ataque, de todas formas yo inabilitaría los servicios que no estés ejecutando, cerraría los puertos e instalaría algún rootkit, te han recomendado Ckrootkit y es muy bueno, yo además te recomiendo Rkhunter ( http://www.rootkit.nl/ ).

Un Whois a la Ip que nos has proporcionado nos da el resultado siguiente:
Network Whois record

Queried whois.arin.net with "57.62.62.66"...

OrgName: SITA-Societe Internationale de Telecommunications Aeronautiques
OrgID: SIDTA
Address: 112 Avenue Charles de Gaulle
Address: Neuilly, 92522 Cedex
City:
StateProv:
PostalCode:
Country: FR

NetRange: 57.0.0.0 - 57.255.255.255
CIDR: 57.0.0.0/8
NetName: SITA-A
NetHandle: NET-57-0-0-0-1
Parent:
NetType: Direct Assignment
NameServer: NS1.EQUANT.NET
NameServer: NS2.EQUANT.NET
NameServer: NS3.EQUANT.NET
Comment:
RegDate: 1993-06-21
Updated: 2000-02-02

RTechHandle: SITA-NOC-ARIN
RTechName: SITA EQUANT Network Operations Center
RTechPhone: +33 4 92 96 63 66
RTechEmail: noc@sita.net

Si de verdad sufres algún ataque podrías comunicarselo a la dirección de correo indicada, de todas formas lo mejor es protegerte ya que te están escaneando los puertos desde otra país ( Francia ) y la distancia hace el olvido jeje.

_________________
Slack in peace
Usuario Linux # 385639
http://www.meleagro.es.kz
Participa en #espaciolinux - irc.freenode.net

 Perfil WWW  
Mostrar mensajes previos:  Ordenar por  
 [ 8 mensajes ] 
Nuevo tema Responder al tema

Saltar a:  


 Temas relacionados   Autor   Respuestas   Vistas   Último mensaje 
puertos

en Seguridad

seba_29_8

6

3117

Mié Nov 30, 2005 7:46 pm

Cronlyen Ver último mensaje

Puertos en una URL

en Redes y Servidores

manu_alge

3

1187

Jue Jun 28, 2007 8:55 am

manu_alge Ver último mensaje

Configurarción de puertos

en Seguridad

ruberrodriguez

3

697

Jue Abr 02, 2009 5:32 pm

Kde_Tony Ver último mensaje

Abrir puertos a una IP

en Redes y Servidores

jsabino

2

510

Lun Mar 26, 2012 6:33 am

TourniqueT Ver último mensaje

Abriendo puertos...

en Redes y Servidores

Archer_lo

2

1394

Mié Oct 27, 2004 6:00 pm

mainframe Ver último mensaje



¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

No puede abrir nuevos temas en este Foro
No puede responder a temas en este Foro
No puede editar sus mensajes en este Foro
No puede borrar sus mensajes en este Foro
No puede enviar adjuntos en este Foro

cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group :: Style based on FI Subice by phpBBservice.nl :: Todos los horarios son UTC + 1 hora [ DST ]
Traducción al español por Huan Manwë
phpBB SEO