Hola a todos, tengo algunas PC's en casa y las utilizo para fines domesticos, solo escuchar música, utilizar el IRC, la red MSN, navegar por paginas, escuchar radios on line, programar, aprender, etc. Pero nada demasiado importante.

Utilizo GkrellM para monitoriar mi sistema y cree un monitor a ssh (port 22) y a www (port 80), ya que tengo un ssh y un apache montados para poder acceder facilmente a mis archivos desde cualquier lugar.

La historia comienza al despertarme despues de mucho dormir, sentarme en la PC y ver en el monitor del puerto 22 (ssh) 1 conexión abierta.

Lo primero que hago inmediatamente es un:

$: who

No tuve respuesta solo mi usuario loggueado.

$: ps -aux | grep ssh

Bueno esto me mostro el PID del proceso y el IP de donde provenia

$: /etc/init.d/ssh stop

Pare el servicio como primera medida

$: telnet [IP] 22
Conecte al puerto 22 del IP por telnet para saber si era un proxy o no. No lo era, estaba efectivamente el puerto 22 abierto y corria un Ubuntu.

Me fijo el log /var/log/auth.log

Y veo muchisimas entradas provenientes del mismo IP provando por diccionario nombres de usuario hasta que encontro el usuario root (:P) de ahi me mostraba un intento de conexión ya que estaba intentando sacar la password.

Paso siguiente realize:

dig -mx [IP]

Y saque información sobre de donde venia esta conexión asi como los DNS.

Google el nombre de dominio de donde provenia la conexión y me encontre con que era una universidad en Porto Alegre, Brasil en la cual estan las carreras de Informática.

Me fui a contacto, y envie un Email adjuntando logs y notificando lo ocurrido.

SOLUCION: Instale fail2ban y lo configure para que en 2 intentos fallidos de loguin, directamente le de un ban al atacante de 800 segundos, a 3 bans se dropea permanentemente el IP (esto por IPTables)
Saludos

Overclock Orange

valla, parece que tienes conocimiento de seguridad y redes, estaria bien que escribireras algunos manuales sobre esto en el foro a nivel muy basico, que este tema me interesa

Si me parece que sabes algo sobre esto, y pues esto nos ha pasado a varios, como dice biomega, podrias escribir algun manual para nosotros sobre ese tema

Saludos.

Amigos soy un ignorante absoluto en el tema de seguridad y en cualquier tema en general jaja.

Si esto que hice fue muy sencillo prometo escribir bien detallado como lo hice por si podemos evitar algo

Un saludo muy grande a todos

Pues sabes más que nosotros jejejeje. Y esos conocimientos que sabes servirían a muchas personas creeme

Me incluyo, escribe los manuales!!

Queridos amigos foreros, esta semana estoy con muchisimo trabajo, prometo que cuando me desocupe (espero que pronto escribire algo)
Un saludo!

waoo fue tan interesante que queria seguir leyendo xD... es impresionante ver como usas tantos comandos y con una seguridad barbara!

para ser un "ignorante absoluto" eres bueno!

Yo tengo una experiencia parecida.

Hace tiempo tenía ssh visible desde internet por el puerto 22 y desde el curro me dio por mirar el fichero de "messages", bueno pues empiezo a ver intentos de conexiones usando algun tipo de diccionario, hasta que de pronto veo en una de ellas "Establecida" y yo no era, rápidamente paré el servicio ssh. Esto fue de forma casual no quiero pensar que hubiera pasado si no me da por mirar el fichero, también por que acababa de activar el servicio y lo estaba monitorizando pero no me duro ni 24h sin que no fuese atacado.

En mi caso la IP era de Francia y ya no mire más.

En otro foro de Linux también salio por casualidad este tema y se dijeron una serie de recomendaciones que os resumo:

1º iptables + fail2ban (La de Wasabi)
2º No permitir login a root.
No tener ssh corriendo en el puerto estándar
No usar contraseñas, usar certificados
3º Usar "Port Knocking" para levantar el servicio y bajarlo cuando se deje de usar.

Bueno estás son algunaa - seguro que hay más - que se pueden complementar entre si.

Saludos.

Tengo un server de correo montado en un Slackware 10.2 y como buen novato nunca revisaba los logs. Un buen día me dio por revisar el log llamado “messages” de la siguiente forma “tail –f messages” y me comenzó aparecer intentos fallido de usuarios al puerto 22, intentaban conectarse al ssh desde la misma ip, todo lo hacian desde un Server que a mi concepto habian secuestrado, dogo esto por que la gente de fujifilm no se va a poner a joder a un pobre desconocido como lo soy yo jaja. El cuento es que en mi ignoracia lo que ice fue cambiar el puerto de escucha del ssh y jamás volví a tener esa actividad por suerte el intruso no era muy habilidoso por que mi parche es muy simple.

Por otro lado deberías escribir el manual en realidad tu post esta bien interesante.

El tema de seguridad me interesa mucho tengo un libro que se llama “Hackers en Linux” te enseñan a proteger tu Linux partiendo desde el ataque, cubren ataques locales, desde intranet, Internet, en fin te ayuda de todo.

Si necesitas ayuda para escribir el manual o algo unamos nuestros poderes para escribir un buen manual.

Lo que mas me parece es que tienes un escenario montado con el cual podemos hacer pruebas.


Cuenta conmigo si necesitas ayuda, la idea es aprender en la marcha escribiendo el manual.

ceduardo me super interesa tu propuesta
bueno mis vias de contactos estan visibles aqui en el foro te invito a q nos contactemos para armar algo
saludos

yo igual se un poco sobre seguridad, si quieres tambien cuenta conmigo para el manual, enviame un mp

Wasabi listo como puedes ver principe-ante esta dispuesto a ayudar.

Fijemos una fecha y nos encontramos en el msn y planear los que va ser el manual.

Salu2
PD: principe-ante tengo el extraño sentimiento que has leido de Kevin Mitnick jajaja por ahi tengo algo del hombre para leer "The Art of Deception"

dale barbaro por mensaje privado les hago llegar mi dirección de MSN

Bueno, ya te mandé un mp, espero no llegar tarde .

btw, lindo thread