PreguntasLinux

PreguntasLinux > GNU/Linux > Distribuciones > Red Hat / Fedora > me quieren entrar!!! :P (solucionado)
Versión Completa: me quieren entrar!!! :P (solucionado)
Actualmente estas viendo una versión simplificada de nuestro contenido. Para ver la versión completa en el formato correcto, dale click aquí

pola

09-14-2008, 02:37 PM
bueno. antes que nada. parte de la culpa es mia. Drago me enseño a "asegurar" el router pero estube haciendo unos testeos y deje todo abierto... pensaba seguir hoy. por ende. "culpa mia"

no obstante me gustaría ver si este tipo pudo entrar o no. por lo que puedo interpretar de los logs no pudo.
parte de los logs...

Código:
Sep 14 05:36:01 localhost sshd[22363]: Invalid user dario from 218.26.94.149
Sep 14 05:36:01 localhost sshd[22364]: input_userauth_request: invalid user dario
Sep 14 05:36:01 localhost sshd[22363]: pam_unix(sshd:auth): check pass; user unknown
Sep 14 05:36:01 localhost sshd[22363]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.26.94.149
Sep 14 05:36:01 localhost sshd[22363]: pam_succeed_if(sshd:auth): error retrieving information about user dario
Sep 14 05:36:03 localhost sshd[22363]: Failed password for invalid user dario from 218.26.94.149 port 42304 ssh2
Sep 14 05:36:04 localhost sshd[22364]: Received disconnect from 218.26.94.149: 11: Bye Bye
Sep 14 05:36:04 localhost sshd[22367]: Invalid user virginia from 218.26.94.149
Sep 14 05:36:04 localhost sshd[22370]: input_userauth_request: invalid user virginia
Sep 14 05:36:04 localhost sshd[22367]: pam_unix(sshd:auth): check pass; user unknown
Sep 14 05:36:04 localhost sshd[22367]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.26.94.149
Sep 14 05:36:04 localhost sshd[22367]: pam_succeed_if(sshd:auth): error retrieving information about user virginia
Sep 14 05:36:04 localhost sshd[22368]: Invalid user robot from 218.26.94.149
Sep 14 05:36:04 localhost sshd[22371]: input_userauth_request: invalid user robot
Sep 14 05:36:04 localhost sshd[22368]: pam_unix(sshd:auth): check pass; user unknown
Sep 14 05:36:04 localhost sshd[22368]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.26.94.149
Sep 14 05:36:04 localhost sshd[22368]: pam_succeed_if(sshd:auth): error retrieving information about user robot
Sep 14 05:36:04 localhost unix_chkpwd[22373]: password check failed for user (nobody)
Sep 14 05:36:04 localhost sshd[22369]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.26.94.149  user=nobody
Sep 14 05:36:06 localhost sshd[22367]: Failed password for invalid user virginia from 218.26.94.149 port 46956 ssh2
Sep 14 05:36:06 localhost sshd[22368]: Failed password for invalid user robot from 218.26.94.149 port 46986 ssh2
Sep 14 05:36:06 localhost sshd[22369]: Failed password for nobody from 218.26.94.149 port 47006 ssh2
Sep 14 05:36:10 localhost sshd[22370]: Connection closed by 218.26.94.149
Sep 14 05:36:10 localhost sshd[22371]: Connection closed by 218.26.94.149
Sep 14 05:36:10 localhost sshd[22372]: Connection closed by 218.26.94.149
Sep 14 05:36:14 localhost sshd[22376]: Connection closed by 218.26.94.149


aca dejo un txt con el log security completo.
http://rapidshare.com/files/145260129/logs.txt.html

existe alguna forma de poner que despues de no se... 4 o 5 intentos de acceso el ip quede banneada o restringida por 48hs algo asi?
saludos

pola

09-14-2008, 05:55 PM
ya me saque este problema instalando denyhosts.

(=

dragonauta

09-15-2008, 10:10 AM

pola Escribió:
bueno. antes que nada. parte de la culpa es mia. Drago me enseño a "asegurar" el router pero estube haciendo unos testeos y deje todo abierto... pensaba seguir hoy. por ende. "culpa mia"


Es como irse a dormir y dejar la puerta abierta. 1-razz

Lo bueno es que no pudo entrar.
Si te fijás bien, el intruso realizó ataque con múltiples hilos y diccionario. Probablemente hydra, o algún otro software que utilice diccionarios.
Lanza varios procesos de conexión simultáneamente en los cuales utiliza dos archivos: uno de nombres de usuario (por eso se ve un usuario abc y otro abcde) y un archivo con contraseñas.

Que bueno que metiste denyhosts!

Igual, si dejás abierto ssh, configurá /etc/ssh/sshd_config y agregale una línea con:

Código:
AllowUsers pola

o el nombre de usuario que quieras permitir, como para restringir también los intentos con otros usuarios (si son varios, van separados por coma).
Recordá meterle una buena password para que sea más difícil adivinarla (10-12 caracteres alfanuméricos deberían funcionar bien).

Una forma rápida de verificar que nadie haya tomado login es ejecutar el comando:

Código:
# last

te dará una lista de los últimos logins exitosos realizados.

La lista se lee de la siguiente manera:

Código:
usuario  terminal   display            fecha                     tiempo de actividad
drago    pts/1        :0.0             Thu Sep 11 21:12 - 21:12  (00:00)    
drago    tty7         :0               Thu Sep 11 20:16 - 22:17  (02:01)    
drago    pts/1        201-213-55-95.ne Thu Sep 11 09:24 - 09:40  (00:16)

tty es la consola local (cuando se utiliza Ctrl+Alt+Fx)
pts/1 son consolas virtuales (gnome-terminal, konsole, xterm, etc,etc) o incluso conexiones ssh entrantes.
Las conexiones ssh se identifican por display. Un display :0.0 es la consola gráfica. Un display con IP (201-213-55-95.some.net) indica una conexión externa.

Marco solucionado el tema.
Saludos

kenjy

09-17-2008, 05:18 PM
También tienes portsentry como alternativa, igual es bueno que manejes llaves rsa/dsa.

pola

09-18-2008, 01:07 PM
llaves publicas y privadas. si. ya me lo habian recomendado cuando pregunte sobre la seguridad. pero no entendi mucho y segui un consejo de P_eter. no estar paranoico.
despues de todo. deje toda la seguridad del router abierta no pudo entrar. (por suerte) pero creo que con denyhost, cerrando el ssh y el router. creo que tendre la segurad suficiente para mi maquina. al menos con eso espantare a algun noob que me quiera entrar.
no creo que un pez gordo me quiera entrar (si ya se. esta mal confiarse) pero tampoco tiene mucho para hacer daño.
tambien estaba viendo la posibilidad de encriptar mi /home, como para ver de que se trata.
encontre esta guia http://www.marblestation.com/blog/?p=602 si bien es para ubuntu, tendria que funcionar.
un saludo y gracias por la propuesta (=

p_eter

09-18-2008, 04:14 PM
Me parece que se mencionó referido a virus y/o en el contexto migración windows a linux primera vez. Usualmente windows tiene todo expuesto por omisión, linux no.
Claro que como bien dices, no es una máquina de cuidar.. vale para experimentar y aprender.
Abrazo.

pola

09-19-2008, 04:52 PM
asi es. no tengo nada para perder en la maquina. a lo sumo se formateara todo de nuevo jajajja
esperemos que no. pero metiendo mano se aprende (=
PreguntasLinux > GNU/Linux > Distribuciones > Red Hat / Fedora > me quieren entrar!!! :P (solucionado)
URLs de Referencia