Un intento de hack?

Archivado
Lo siento, se que soy pesado, pero esque soy demasiado nuevo con esto del servidor ^_^U

Vereis, curioseando los logs de /var/log/auth me he encontrado con una IP que no era la mia. Bueno, el caso es que me ha dado por ver si por algun casual me redirigia hacia alguna ip, y... efectivamente me redirige hacia la web de Zimbra, una web de tematica "libre" (bueno, realmente me redirige hacia un extraño login)

Por lo que creo entender de los logs ha intentado entar por ssh y por ftp utilizando...mmm lo que supongo son usuarios / passwords tipicos (al ssh a intentado entrar con el usuario oracle, unknow y library).

¿Deberia preocuparme? ¿Tengo que hacer algo?

Joer, que malo es esto de ser un newbie xD

Salu2 y muchas gracias! (y perdon por ser asi de plasta ^_^U)

PD: hay algun log de apache que muestre las conexiones que han pedido informacion al server? Esque el que he encontrado no se modifica a pesar de que la gente entre a la direccion del mismo :S
Si usa claves "genericas" esque es un novato, si no te a conseguido hackear ya, tranquilo que no continuará.
Still escribió:Si usa claves "genericas" esque es un novato, si no te a conseguido hackear ya, tranquilo que no continuará.


Hombre, no esque sea un experto, pero claves seguras si suelo usar ^_^U Realmente el "ataque" ha sido corto, apenas 2 minutos, pero... nose, me da noseque que no lleve ni un dia en pie y ya me vengan con esas xD

Salu2!
/-/ades escribió:me da noseque que no lleve ni un dia en pie y ya me vengan con esas xD


Y a partir de ahora, todos los días :D (son ataques automáticos con diccionario que si les dejas hacen cientos o miles de intentos)

Yo te recomendaría instalar el paquete fail2ban (disponible en los repositorios de debian) que es un script que cuando detecta en los archivos de log de auth mas de X intentos en un intervalo de tiempo desde la misma ip añade una regla a iptables para que rechace todo lo que venga de ahí durante Y minutos. Los intentos y el tiempo de baneo son totalmente configurables, y vale para ssh, ftp ,etc.

Salu2!
Dagaren escribió: Y a partir de ahora, todos los días :D

Yo te recomendaría instalar el paquete fail2ban que es un script que cuando detecta en los archivos de log de auth mas de X intentos en un intervalo de tiempo desde la misma ip añade una regla a iptables para que rechace todo lo que venga de ahí durante Y minutos. Los intentos y el tiempo de baneo son totalmente configurables, y vale para ssh, ftp ,etc.

Salu2!


Wow! que bueno! No sabia de nada asi ^_^ Mañana mismo lo instalo. Muchisimas gracias!

Salu2!
vaya, al ver este post he comprobado el ordenata que tengo permamentemente con ubuntu y zas...van saliendo intentos /var/log/auth...
asi que muchas gracias por la idea del fail2ban, Dagaren, tambien lo he instalado,

veremos si con esto se acaban los intentos de visita no deseados....
De que tienes el server ?
No-Alternative escribió:De que tienes el server ?


ssh + LAMP + ftp por ahora. Cuando acabe de examenes vere que mas le puedo meter :)

Salu2!
No te preocupes demasiado, este tipo de ataques siempre son bastante típicos.

Para banear dichas ip's hace tiempo que se comento que se podia hacer con:
* net-analyzer/fail2ban
Available versions: 0.6.2-r1 ~0.7.9 ~0.8.0 0.8.0-r1
Homepage: http://fail2ban.sourceforge.net/
Description: Bans IP that make too many password failures



salu2

PD: Por cierto, hilo repe X-D
He encontrado este, pero diria que hay unos cuantos mas
http://www.elotrolado.net/showthread.php?s=&threadid=548685&highlight=ssh+ataques
FCKU está baneado del subforo por "No especificado"
http://meneame.net/story/protege-tu-servidor-ssh-ataques-fuerza-bruta
Cafetino escribió:PD: Por cierto, hilo repe X-D
He encontrado este, pero diria que hay unos cuantos mas
http://www.elotrolado.net/showthread.php?s=&threadid=548685&highlight=ssh+ataques


Calla, calla, no me saques los trapos sucios XD

Muchas gracias a todos ;) ya he instalado y configurado fail2ban y por ahora funciona bastante bien :)

Salu2!
10 respuestas
Archivado
Volver a Software libre