[skartts00]

hola.... lo que ocurre es que me sale el mensaje de que me estan escaneando los puertos, al menos 3 o 4 veces al dia..... aunque no tengo nada importante que pueda interesarle a nadie, es posible que accedan a mi pc de algun modo? como se si esto esta sucediendo? y que hago para evitarlo... gracias.....

[lagartoswing]

Es muy probable que lo que esten intentando es entrarse a tu maquina, recuerda que el scanneo de puertos es uno de los primeros pasos para iniciar un ataque, tu dices que no tienes info de importancia, pero el peligro esta en las cosas que te puedan instalar, ademas a nadie le gusta que tomen el mando de su PC, cierra los puertos que no estes usando, debes tener varios abiertos por defecto, dependiendo si tu equipo pertenece a un dominio, el netCat te puede ayudar a cerrar algunos puertos, sino quires hacerlo de forma manual, ademas instalate un firewall, si eres mas paranoico un IDS.
saludos.

[meleagro]

asdf_fdsa escribió:

lo que ocurre es que me sale el mensaje de que me estan escaneando los puertos, a

¿Ese mensaje proviene de un IDS como snort?
No solo debes cerrar puertos, además debes cortar los servicios que no sean necesarios ( web, mysql, telnet, etc ).

[skartts00]

Hola... no se lo que es un IDS, el mensaje me dice que el firewall detecto un atque del tipo: scan. Y sale el ip del "atacante" (eso creo), como sé cuales son los puertos que no utilizo? (aún no se nada sobre puertos)... Gracias

[meleagro]

¿Puedes poner el mensaje concreto aunque sea sin poner la ip del atacante?
¿Y qué firewall te lo ha detectado?

Saludos !!

[jmp]

Instala:

• Cortafuegos (iptables)
• Portsentry + Snort + ACID (necesitas MySQL si quieres usar ACID).
• Chkrootkit y AIDE
• Router con NAT a los puertos de tu servidor si procede

Con eso podrás ver quien te ataca, detectar y prevenir cierto tipo de ataque e incluso detectar una posible penetración en el sistema, demás con PortSentry dejaran de molestarte durante un tiempo.

Si usas SSH ponlo en un puerto no estandart (típicamente 443 o 2222) y no permitas logueos por parte de root ni con clave en blanco, usa siempre una versión reciente y mínimamente segura de SSH o Apache (servidor web) si lo usas.

No confies en ningún otro host, o sea, nada de relaciones de confianza.

Si además tienes tiempo implementa en tu sistema un mecanismo de "Port-Knocking" esto hará que tu problema quede solventado y tu read sea BASTANTE más segura, por supuesto no es infalible.

un saludo.

[skartts00]

Bueno meleagro, sale un mensaje del Interactive firewall:


Interactive Firewall

Un ataque al puerto 1027 (creo) ha sido detectado


cuando doy clic donde me salio el mensaje sale:


Interactive Firewall

fecha Attacker Atack type Servicio Interfaz de red Protocolo
vie... 57.62.62.66 port scanning 1027 eth0 udp

Citar:

nstala:


* Cortafuegos (iptables)
* Portsentry + Snort + ACID (necesitas MySQL si quieres usar ACID).
* Chkrootkit y AIDE
* Router con NAT a los puertos de tu servidor si procede



Con eso podrás ver quien te ataca, detectar y prevenir cierto tipo de ataque e incluso detectar una posible penetración en el sistema, demás con PortSentry dejaran de molestarte durante un tiempo.

Si usas SSH ponlo en un puerto no estandart (típicamente 443 o 2222) y no permitas logueos por parte de root ni con clave en blanco, usa siempre una versión reciente y mínimamente segura de SSH o Apache (servidor web) si lo usas.

Apenas sé lo que es un firewall... alguna sugerencia, ayuda, etc? gracias.

[meleagro]

Un escaneo de puertos no es en realidad un ataque, de todas formas yo inabilitaría los servicios que no estés ejecutando, cerraría los puertos e instalaría algún rootkit, te han recomendado Ckrootkit y es muy bueno, yo además te recomiendo Rkhunter ( http://www.rootkit.nl/ ).

Un Whois a la Ip que nos has proporcionado nos da el resultado siguiente:
Network Whois record

Queried whois.arin.net with "57.62.62.66"...

OrgName: SITA-Societe Internationale de Telecommunications Aeronautiques
OrgID: SIDTA
Address: 112 Avenue Charles de Gaulle
Address: Neuilly, 92522 Cedex
City:
StateProv:
PostalCode:
Country: FR

NetRange: 57.0.0.0 - 57.255.255.255
CIDR: 57.0.0.0/8
NetName: SITA-A
NetHandle: NET-57-0-0-0-1
Parent:
NetType: Direct Assignment
NameServer: NS1.EQUANT.NET
NameServer: NS2.EQUANT.NET
NameServer: NS3.EQUANT.NET
Comment:
RegDate: 1993-06-21
Updated: 2000-02-02

RTechHandle: SITA-NOC-ARIN
RTechName: SITA EQUANT Network Operations Center
RTechPhone: +33 4 92 96 63 66
RTechEmail: noc@sita.net

Si de verdad sufres algún ataque podrías comunicarselo a la dirección de correo indicada, de todas formas lo mejor es protegerte ya que te están escaneando los puertos desde otra país ( Francia ) y la distancia hace el olvido jeje.