OVH Community, your new community space.

Ataques a Cpanel


DMZ_HOST
17/08/2013, 18:52
Voy a probar lo que comentais, gracias a los tres.

tfwfactory
17/08/2013, 07:18
Con Cpanel puede poner alertas con el CPHulk Brute Force , este sistema impedirá que te accedan desde una ip con X logueos y es muy configurable , como medidas alternativas de seguridad usa el CSF o Fail2ban , también es bueno cambiar el puerto 22 a otro , el que quieras e implementar un programa de seguridad , también elimina las keys de acceso de OVH al servidos por ssh

En resumen :

- Utiliza Denyhosts - SSH
- Usa Fail2Ban - SSH
- Instalar CSF/LFD - Integrado en Cpanel sino accede a la página y te dirá como instalarlo para Cpanel de forma sencilla
- Desactiva root como login para ssh
- Cambia el puerto 22 de SSH a otro
- Cierra puertos no necesarios
- CPHulk Brute Force
- Mira los logs de acceso a tu sistema de vez en cuando y banea si es necesario desde CSF si ves algún acceso sospechoso
- Si te compensa puedes usar un CDN como CloudFlare o el servicio de Amazon para algunos sitios web con lo cual los ataques de ddos , etc ya no te afectarán , si usas Cloud Flare que sea para sitios pequeños o un foro , en otros sitios no ha sido muy bueno en rapidez el de Amazon ha ido bien , esto ya como una medida de seguridad también que puede ser interesante

También puedes virtualizar el servidor crear pequeñas máquinas asignar una ip y de este modo ante un ataque reiterado puedes cambiar la ip por otra si es que te causa mucha molestia o actuar de mejor forma , son diferentes estrategias según el tipo de problema que tengas y que puede hacer que hasta que resuelvas esos problemas tu sitio no este caido

Un saludo

Siliconworld
17/08/2013, 00:10
Uhmm es que con cPanel me pillas, hace años que no lo uso, pero en un principio el propio CSF/LFD que supongo funciona igual con cPanel como con Directadmin, puedes configurarle para que gestione todos los servicios de la máquina, no solo SSH y le subes el rango de alarmas del cPanel a 10 intentos por ejemplo y pones el CSF que con 5 intentos meta la IP en bloqueo permanente o temporal X tiempo.

Directadmin también suele avisar de intentos de login fallidos en cualquiera de los servicios, pero igualmente solo avisa y no actúa (por defecto), yo lo que le tengo en el CSF es que a los 10 intentos (en vez de 5 por no arriesgarme mucho con los tipicos clientes que nunca recuerdan su clave a la primera) de login fallidos en cualquier servicio, http, exim, ftp, ssh, etc... bloquea la IP temporalmente y si repite la bloquea permanente, al Directadmin le tengo que solo controle los bruteforce de acceso a el mismo y con una modificación en un script lo que hace es que a los 10 intentos agrega la IP a la blacklist.

Estoy seguro que con cPanel se puede hacer todo esto y mucho más, dado que se supone que es el mejor panel a día de hoy (también el más caro) y el CSF/LFD es lo mejor de lo mejor, pero como con todo si no se le dedica un rato a configurarlo, que tiene su cosa, no se le saca utilidad real.

Te recomiendo consultar en los foros de cPanel y revisarte página por página de las configuraciones del CSF/LFD y modificarlo a tu gusto.

Los avisos te seguirán llegando (a no ser que lo desactives, no recomendable), solo que del CSF y si lo configuras bien no solo del intento, si no también de la acción tomada por el mismo.

Un saludo y siento no poderte ser de más ayuda con cPanel.

maxpaynecu
17/08/2013, 00:00
Cita Publicado inicialmente por DMZ_HOST
Gracias por responder Siliconworld.

Esta en producción si, tiene alojados varios poryectos mios.

Esas ips que van llegando en los correos, ¿no hay manera de que el servidor las bloquee automáticamente, sin tener que andar pinchando individualmente en cada correo para que el panel las meta en lista negra?

CSF si entro en su configuracion desde WHM, veo que tiene ya unas cuantas bloquedas pero por lo que veo solo son de intentos de acceso por SSH...
buenas tardes amigo te voy a dar un hilo para que tires de él instala y configura en tu servidor el fail2ban una vez instalado y puesto en marcha que hace fail2ban pues simple banea automaticamente las IPs que intenten un número xxx de inicio de sesiones fallidos en tus sistemas en mi caso:

lo tengo configurado para .. ssh, smtp, pop, imap, ftp, webmail login, panel de amin, phpmyadmin ... y puede ponerse para mas cosas

como se hace en cpanel ni idea pero creo un 90% de que esa será tu solucion en mi caso baneo las IPs 2 horas pero puedes ponerle unas 34567890 horas de baneo si lo deseas asi

suerte amigo :P

DMZ_HOST
16/08/2013, 23:51
Gracias por responder Siliconworld.

Esta en producción si, tiene alojados varios poryectos mios.

Esas ips que van llegando en los correos, ¿no hay manera de que el servidor las bloquee automáticamente, sin tener que andar pinchando individualmente en cada correo para que el panel las meta en lista negra?

CSF si entro en su configuracion desde WHM, veo que tiene ya unas cuantas bloquedas pero por lo que veo solo son de intentos de accesor por SSH...

Siliconworld
16/08/2013, 22:45
Buenas,

En un dedicado en producción? por desgracia no existe forma, ya el CSF o cualquier otro sistema que se tenga hace su trabajo bloqueando las IP de ataques, pero claro el origen cambia de IP/proxy y a continuar intentándolo, de todas formas si solo son 2 o 3 avisos al día de intentos de acceso, puedes estar agradecido

Los que tenemos webs con mucho tiempo de funcionamiento, IP's muy extendidas, webs o servicios que suelen atraer a los tocapelotas (perdón) de turno como comunidades de juegos, servidores de TS o de juegos, etc... solemos tener muchos más avisos de intentos de acceso, ataques, etc... pero precisamente el que sean avisos de intentos y que se han cortado con bloqueos de Ip u otras acciones es lo que tranquiliza, depende del servicio que des puedes recurrir a ciertas medidas drásticas, en nuestro caso en un dedicado que era bombardeado cientos/miles de veces al día con scan de puertos, intentos de acceso a cuentas de correo, ssh, etc... y el 90% venía de IP's geolocalizadas en China, lo que hicimos fue usar la opción de la config del CSF y agregar a China como baneada del servidor permanentemente y se acabaron gran parte de los avisos, lo bueno es que cuando ven que no tienen nada que hacer suelen pasar del tema, unos meses después quitamos esa regla y no han vuelto los ataques.

Cuenta que esto es general en todo Internet, suelen ser intentos aleatorios y dependiendo de las posibilidades de acceso según lo que pueden analizar a primera vista te darán más o menos la brasa hasta cansarse, pero si el servidor está bien configurado y protegido no debes preocuparte, lo chungo es cuando X fulano va a por una máquina específica por el motivo que sea, esos suelen ser más problemáticos ya que no se cansan tan fácilmente.

Un Saludo y Suerte.

DMZ_HOST
16/08/2013, 21:50
Muy buenas, lo primero hola a todos que es mi primer mensaje, llevaba bastante tiempo leyendo cosas y tal, pero no me habia decidido a registrarme todavia. Os cuento un poco mi pequeña pesadilla:

Tengo un servidor virtual montado con Proxmox en OpenVZ que tiene instalado Centos + WHM/Cpanel.

Cada dia me llegan un par o tres de emails como este pero con diferentes ips siempre:
5 failed login attempts to account samba (system) -- Large number of attempts from this IP: 95.141.32.104

Reverse DNS: 104-32.141.95.serverdedicati.seflow.it

Origin Country: Italy (IT)

Please use the following links to add to the black list:

Single IP: https://miip.com.com:2087/cgi/bl.cgi?ip=95.141.32.104
/24: https://miip.com.com:2087/cgi/bl.cgi?ip=95.141.32.0/24
/16: https://miip.com.com:2087/cgi/bl.cgi?ip=95.141.0.0/16
Cambia la IP y la cuenta con la que intentan entrar. Tengo CSF instalado pero por lo visto no consigo que cesen estos ataques.

¿Hay forma humana de que no pase esto?

Gracias de antemano