Ataque

Guido Ignacio guidoignacio en gmail.com
Sab Jun 19 01:06:37 BST 2010 

El 18 de junio de 2010 20:30, Gama <edgarhdez0 en gmail.com> escribió:

> Hola, en donde laboro, estamos teniendo un ataque desde esta
> ip 201.65.116.10, esta tratando de autenticarse con algun usuario, que hasta
> ahora no ha logrado tener exito, y pues la verdad necesito alguna manera de
> contrarestar esos, ataques hasta ahora no han tenido ningun fruto pero mejor
> estar prevenidos he estado con el nmap y me ha arrojado los siguientes
> datos.
>
> Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-18 17:49 CDT
> Interesting ports on 201.65.116.10:
> Not shown: 992 closed ports
> PORT     STATE    SERVICE
> 22/tcp   open     ssh
> 25/tcp   filtered smtp
> 80/tcp   open     http
> 111/tcp  open     rpcbind
> 1086/tcp filtered unknown
> 2000/tcp open     callbook
> 3306/tcp open     mysql
> 4445/tcp open     unknown
> Device type: general purpose|WAP|switch|specialized|print server|broadband
> router|remote management
> Running (JUST GUESSING) : Linux 2.6.X (96%), Netgear embedded (92%),
> Actiontec Linux 2.4.X (92%), HP embedded (92%), Linksys embedded (92%),
> Google embedded (92%), AVM embedded (91%), Dell embedded (91%)
> Aggressive OS guesses: Linux 2.6.9 - 2.6.24 (96%), Linux 2.6.15 - 2.6.26
> (95%), Linux 2.6.20 (Ubuntu 7.04 server, x86) (94%), Linux 2.6.15 (Ubuntu)
> (94%), Linux 2.6.18 - 2.6.26 (92%), Netgear DG834PN RangeMax wireless
> broadband router (92%), Linux 2.6.18 (OSSIM) (92%), HP Brocade 4100 switch;
> or Actiontec MI-424-WR, Linksys WRVS4400N, or Netgear WNR834B wireless
> broadband router (92%), Google Mini search appliance (92%), HP 4200 PSA
> (Print Server Appliance) model J4117A (92%)
> No exact OS matches for host (test conditions non-ideal).
> Network Distance: 14 hops
>
> OS detection performed. Please report any incorrect results at
> http://nmap.org/submit/ .
> Nmap done: 1 IP address (1 host up) scanned in 139.65 seconds
>
> Y me gustaria me apoyaran para poder, darle en la torre, claro por lo que
> se lee esta usando una aplicacion de ubuntu.
>
> Otra cosa existe alguna aplicacion, o de que manera puede ver desde que ip
> se esta intentando conectar a mi servidor, claro queda grabado los usuarios,
> con los que se estan intentando conectar, no asi la ip de donde lo estan
> intentando.
>
> Saludos
>
>
> --
> ubuntu-es mailing list
> ubuntu-es en lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
>


Tenés diferentes alternativas, desde denegar el acceso a una ip luego de "x"
cantidad de intentos y no dejarle por "x" segundos (1), hasta scriptÅ› que
automatizan el tema (2) y (3)

Espero te sirva

(1) http://www.esdebian.org/seguridad/24001/bloquear-ataques-ssh-diccionario
<http://www.esdebian.org/seguridad/24001/bloquear-ataques-ssh-diccionario>
(2)http://www.fail2ban.org/wiki/index.php/Main_Page
<http://www.fail2ban.org/wiki/index.php/Main_Page>(3)
http://denyhosts.sourceforge.net/

---
Este mensaje no contiene virus, porque ha sido creado con GNU/Linux,
utilizando Software Libre y auditable.

This message doesn't contain viruses, because it has been created with
GNU/Linux, using auditable Free Software.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-es/attachments/20100618/030b0430/attachment-0001.htm

Más información sobre la lista de distribución ubuntu-es