OVH Community, your new community space.

Ips extrañas en los logs

oceano

16/09/2013, 07:46

Buenos días Mazingerz,

Actualizado !

Publicado inicialmente por mazingerz

Y esto como puedo hacerlo ,muchas gracias

Lo primero de todo, deberías de contratar una dirección IP estática con tu ISP.

Antes las regalaban... pero valen poco, unos 10€/mes.

Ok ! O bien, puedes instalar LFD/CSF 1* y meter una regla para iptables dentro de un archivo 3* que se cargará automáticamente cuando, si por alguna de aquellas si reinicia el servidor;

O bien, le metes una regla directa y haces que se carge automáticamente cuando, si por alguna de aquellas si reinicia el servidor en los procesos de inicio.

Te explico el primer punto, puesto que le puedes sacar mayor rendimiento al conjunto instalado.

1* http://configserver.com/cp/csf.html

Realizas la instalación, aquí lo tienes explicado, si no te aclaras avisa !
http://configserver.com/free/csf/install.txt

ahora debes buscar el archivo 2* y configurarlo TODO a tu gusto cuidadosamente.
2* /etc/csf/csf.conf

ahora, dentro de estos dos archivos debes cambiar el puerto que posteriormente utilizarás para tus servicios

Busca algo así...
# port ???

Código:

/etc/ssh/sshd_config
/etc/services

Al salir no olvides un ...

Código:

/etc/init.d/sshd restart ó /etc/init.d/ssh restart ( dependiendo OS )

Y ahora, dentro del fichero 4* ya con tu dirección IP estática metes éste código 3*

Código:

3*
iptables -A INPUT ! -s Mi_Ip_STATICA  -p tcp --dport ???? -j DROP

Es decir, todo lo que no venga desde mi IP(entrada/INPUT - salida/?) con cierto protocolo(TCP/?), a dicho Puerto(???), rechazar(drop/?).

Código:

4*
/etc/csf/csfpost.sh

Damos paso a la monitorización

Código:

iptables -A LOCALOUTPUT -d IP_MY_SERVER.250 ! -o lo -j ACCEPT
iptables -A LOCALOUTPUT -d IP_MY_SERVER.251 ! -o lo -j ACCEPT

Imagina el juego que puedes darle con una ip estática amigo, sólo es cuestión de pensar...

Espero haberte ayudado ! Si no te aclaras avisa...

Un saludo !

mazingerz

15/09/2013, 22:44

Pues voy a ponerlo jeje gracias !!!

pepejlr

15/09/2013, 20:34

Publicado inicialmente por mazingerz

Y esto como puedo hacerlo ,muchas gracias

Usas fail2ban? Con eso garantizas que las IPs no hagan logins reiterados y asi sea mucho más dificil que puedan adivinar la contraseña de acceso a una de tus cuentas.

xirvikflux

15/09/2013, 19:33

Publicado inicialmente por mazingerz

Es bueno o es malo dejar el monitoring, veo algunos usuarios que es por culpa del monitoring que les cierran el servidor ,que opinas ,no es mejor quitarlo para que ovh no se pasey no ponga un servidor en rescue? y hay alguna medida o buena practica para que no intenten acceder a ftp

Yo te recomiendo que dejes la monitorización activada, respondiendo sólo a los pings de las IPs de monitor (necesario, no puedes tener el monitor activo y no responder a pings, tu servidor se pasaría la vida en modo rescate).

Sobre el FTP, la "solución" más sencilla es usar un puerto no estándar.

Aparte de eso, internet es el salvaje oeste. Siempre te van a estar intentando entrar.

Recomiendaciones:
- Utilizar puertos no estandar para todo en lo que puedas elegir (por ejemplo en un servidor de correo pues no puedes elegir, pero en SSH sí).
- tomarte en serio las actualizaciones
- No permitir login de ningún usuario con contraseña (usa siempre certificados)
- Mantener la calma en situaciones chungas
- Estar listo para perder todo y reinstalar a la menor sospecha (nunca intentes reparar un servidor hackeado; siempre vas a empeorar las cosas; ponlo immediatamente en modo rescate y desde ahí investiga lo que ha pasado).

mazingerz

15/09/2013, 17:05

Y esto como puedo hacerlo ,muchas gracias

cyry

15/09/2013, 16:44

Publicado inicialmente por mazingerz

y hay alguna medida o buena practica para que no intenten acceder a ftp

Pues yo creo que el acceso por IP es lo mejor,es decir que solo lo puedas acceder tu , desde tu IP, el ssh,ftp,db etc.

mazingerz

15/09/2013, 16:22

Es bueno o es malo dejar el monitoring, veo algunos usuarios que es por culpa del monitoring que les cierran el servidor ,que opinas ,no es mejor quitarlo para que ovh no se pasey no ponga un servidor en rescue? y hay alguna medida o buena practica para que no intenten acceder a ftp

Muchas gracias Server7

Server7

15/09/2013, 15:47

Más información leerse esta guía: http://guias.ovh.es/FireWall sección "IP a excluir y a autorizar".

Para un servidor dedicado

Si desea bloquear el protocolo ICMP (las peticiones ping), debe dejar al menos el paso a los ordenadores de monitorización.

Ello permite a los técnicos de OVH verificar el buen estado de su servidor.
Si bloquea todas las peticiones ping, incluso las de OVH, no podremos comprobar el buen estado de su servidor y si este se cae no seremos advertidos.

Para autorizar el acceso al servidor SLA y tener RTM, debe autorizar la IP de su servidor terminada en .250 y .251, por ejemplo, si su IP es de la forma aaa.bbb.ccc.ddd, debe autorizar el acceso a la dirección aaa.bbb.ccc.250 y aaa.bbb.ccc.251.

Lo primero no tiene nada que ver con lo segundo, lo primero es simplemente un intento de login fallido por FTP, algunos tienen más de 100 o 1000 al día de estos intentos entre ssh, ftp, pop3, etc... lo importante es que sean eso, intentos fallidos.

mazingerz

15/09/2013, 15:37

Hola a todo el mundo

Mirando en los logs veo en el archivo secure esto :

Sep 15 14:54:34 ks32711111 proftpd[28636]: 127.0.0.1 (::ffff:146.52.95.94[::ffff:146.52.95.94]) - USER anonymous: no such user found from ::ffff:146.52.95.94 [::ffff:146.52.95.94] to ::ffff:5.37.95.84:21

La ip ers de Alemania ,me han intentado entrar o que ocurre que medidas debería tomar ?

Luego en el archivo messages veo :

Sep 15 15:53:02 ks3277752 kernel: Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=5.39.95.72 DST=5.32.95.251 LEN=219 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=49891 DPT=6114 LEN=199 UID=0 GID=0
Sep 15 15:53:02 ks3277752 kernel: Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=5.39.95.72 DST=5.32.95.251 LEN=207 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=33986 DPT=6109 LEN=187 UID=0 GID=0
Sep 15 15:53:02 ks3277752 kernel: Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=5.39.95.72 DST=5.32.95.251 LEN=119 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=56859 DPT=6154 LEN=99 UID=0 GID=0
Sep 15 15:53:02 ks3277752 kernel: Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=5.39.95.72 DST=5.32.95.251 LEN=236 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=56812 DPT=6131 LEN=216 UID=0 GID=0
Sep 15 15:53:02 ks3277752 kernel: Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=5.39.95.72 DST=5.32.95.251 LEN=195 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=51913 DPT=6180 LEN=175 UID=0 GID=0

Mil Gracias !!!