¡me atacan!

Archivado
Llevo unas 2 horas recibiendo varias conexiones por segundo desde esta ip 221.148.206.62, al puerto ssh probando varios usuarios y ahora llevaba un rato con root, he cerrado completamente todos los servicios y baneado a la ip, pero me interesa saber que deberia hacer ¿como puedo obtener informacion de esa ip? ¿deberia denunciarlo? esta claro que es un ataque y no casualidad.

Edito:

Parece de china, en esa ip se encuentra esta web http://221.148.206.62/edoum/index.jsp, ¿la habran usado como plataforma de lanzamiento o su administrador es un tio que se aburre mucho?
No es casualidad es un worm muy típico... no utilices passwords para el ssh y ya está, solucionado.

Saludos.Ferdy
Ferdy escribió:No es casualidad es un worm muy típico... no utilices passwords para el ssh y ya está, solucionado.

Saludos.Ferdy


y como hago para no usar password? Mi contraseña es bastante segura 20 caracteres, mayus, minus numeros y caracteres especiales, ¿deberia estar preocupado? no es que tenga los datos de la nasa pero me toca la moral que un chino pelon me hurgue el pc.
Mi contraseña es bastante segura 20 caracteres, mayus, minus numeros y caracteres especiales


1) Eso no es especialmente seguro...
2) ...y menos después de decir tanto sobre ella.

y como hago para no usar password?


Mira sshd_config(5)

Saludos.Ferdy
ferdy puedes explicar un poco mas lo de ese gusano.. es que me he quedao con la intriga y yo soy como que bastante novato en todo esto.
El worm busca hosts con servidores ssh y prueba usuarios típicos (vmail,mail,apache,www,daemon,cron,user,admin,test,....) con passwords de diccionario. No se hasta qué punto se conocen los efectos de tal worm dado que esos usuarios normalmente NO tienen una shell válida.

Conclusión: no hay mucho que temer.

Saludos.Ferdy
ok, gracias por instruirme un poquine en seguridad linuxera.

PD: mini duda
servidor ssh tienes que ponerlo tu o te lo instalan por defecto las distribuciones generalistas con asistentes? (vease Mandriva, Fedora, etc)
Supongo que no viene por defecto.
En Gentoo me lo tube que instalar a mano, como todo el sistema [+risas]
La última vez que instalé una distribución de ese estilo (Mandrake8) creo recordar que openssh venía por defecto.

Saludos.Ferdy
Ferdy escribió:La última vez que instalé una distribución de ese estilo (Mandrake8) creo recordar que openssh venía por defecto.

Saludos.Ferdy


Confirmo , por lo menos en madriva se instala por defecto., pero siempre puedes dejar el servicio parado y quitarlo del arranque y solo activarlo si lo necesitas. En mi caso esta parado y solo lo levanto cuando estoy en otro ordenador y necesito ssh para freenx.
Buenas, haber si me se explicar...

El caso es que en mi ordenador hace tiempo por sugerencia de una actualizacion de openssh, puse acceso por clave publica y privada. Así que desde entonces hasta hoy, he intentado acceder a mi ordenador desde el servidor via ssh, y al hacer login la primera vez, todo ok, pero al intentarlo la segunda, me pedía el password, y por mucho que se lo introdujese (esta bien escrito??), nunca me llegaba a entrar, supongo que porque no encontraba las public-private keys, cosa nada rara porque no las había creado por falta de tiempo, es decir, podía hacer login una vez. Hoy he creado las claves, y todo funciona a la perfeccion, al acceder por primera vez, pongo el password, y las siguientes me accede directamente. Mi duda viene ahora...

Si quiero poner acceso sin contraseña, únicamente por keys, de modo que no me la pida ni la primera vez, como lo hago??

Por otro lado(Decir antes, que he cambiado el acceso al servidor tambien, por public-private keys.). Mi compañero de piso entra al servidor con el winSCP, desde windows, y accede una y otra vez simplemente con contraseña. Es decir, es como si no tuviese efecto lo de las keys.. A que es debido?

Saludos!!
10 respuestas
Archivado
Volver a Software libre