Ataque

Gonzalo L. Campos Medina gcamposm en gmail.com
Sab Jun 19 07:52:02 BST 2010 

El 18/06/10, Gama <edgarhdez0 en gmail.com> escribió:
> Hola, en donde laboro, estamos teniendo un ataque desde esta
> ip 201.65.116.10, esta tratando de autenticarse con algun usuario, que hasta
> ahora no ha logrado tener exito, y pues la verdad necesito alguna manera de
> contrarestar esos, ataques hasta ahora no han tenido ningun fruto pero mejor
> estar prevenidos he estado con el nmap y me ha arrojado los siguientes
> datos.
>
> Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-18 17:49 CDT
> Interesting ports on 201.65.116.10:
> Not shown: 992 closed ports
> PORT     STATE    SERVICE
> 22/tcp   open     ssh
> 25/tcp   filtered smtp
> 80/tcp   open     http
> 111/tcp  open     rpcbind
> 1086/tcp filtered unknown
> 2000/tcp open     callbook
> 3306/tcp open     mysql
> 4445/tcp open     unknown
> Device type: general purpose|WAP|switch|specialized|print server|broadband
> router|remote management
> Running (JUST GUESSING) : Linux 2.6.X (96%), Netgear embedded (92%),
> Actiontec Linux 2.4.X (92%), HP embedded (92%), Linksys embedded (92%),
> Google embedded (92%), AVM embedded (91%), Dell embedded (91%)
> Aggressive OS guesses: Linux 2.6.9 - 2.6.24 (96%), Linux 2.6.15 - 2.6.26
> (95%), Linux 2.6.20 (Ubuntu 7.04 server, x86) (94%), Linux 2.6.15 (Ubuntu)
> (94%), Linux 2.6.18 - 2.6.26 (92%), Netgear DG834PN RangeMax wireless
> broadband router (92%), Linux 2.6.18 (OSSIM) (92%), HP Brocade 4100 switch;
> or Actiontec MI-424-WR, Linksys WRVS4400N, or Netgear WNR834B wireless
> broadband router (92%), Google Mini search appliance (92%), HP 4200 PSA
> (Print Server Appliance) model J4117A (92%)
> No exact OS matches for host (test conditions non-ideal).
> Network Distance: 14 hops
>
> OS detection performed. Please report any incorrect results at
> http://nmap.org/submit/ .
> Nmap done: 1 IP address (1 host up) scanned in 139.65 seconds
>
> Y me gustaria me apoyaran para poder, darle en la torre, claro por lo que se
> lee esta usando una aplicacion de ubuntu.
>
> Otra cosa existe alguna aplicacion, o de que manera puede ver desde que ip
> se esta intentando conectar a mi servidor, claro queda grabado los usuarios,
> con los que se estan intentando conectar, no asi la ip de donde lo estan
> intentando.
>
> Saludos
>

--

Algo básico es empezar por cambiar en tu configuración el puerto 22 a
cualquier otro puerto (de 4 dígitos cuando menos, por ejemplo al
puerto 1234).  E instala fail2ban que bloqueará a todo aquel que tenga
intentos fallidos de loguearse remotamente.

Un sysadmin no debe dejar las configuraciones por defecto en equipo
que da hacia internet, pues estas configuraciones son detectadas
fácilmente.

Saludos
-- 
Gonzalo L. Campos Medina
http://www.ubuntu.com | http://www.ubuntu-es.org | http://www.ubuntu-pe.org
L.R.U. #344192 | U.R.U. #161
Freenode #ubuntu-es #edubuntu-es #ubuntu-pe

Más información sobre la lista de distribución ubuntu-es