OVH Community, your new community space.

La IP 91.121.142.60 intenta entrar en mi phpadmin


Romeo
27/11/2008, 12:44
Es posible integrar Fail2Blog con cPanel?

Por que me parece que cPanel guarda los logs en otras carpetas con otros nombres.


He buscado en San Google, pero no encuentro nada.




Muchas gracias de antemano.

rockeye
08/11/2008, 14:14
Estoy preparando un script para enviar notificacines automáticas de ataques desde nuestra red a la cuenta de abuse@ovh.net. Cuando termine os lo paso.

Sl2

Peich
06/11/2008, 20:23
Después de un tiempo de que no me llegaran mails desde fail2ban (ilusamente pensé que los ataques se habían acabado) me di cuenta que después del último reinicio del server no había arrancado. Intenté arrancarlo y me decía que no podía y que debía eliminar el socket (pero ese socket no existía). Buscando por internet llegué a esta página:

http://bugs.gentoo.org/show_bug.cgi?id=185923

Que dice que hay un bug en el fail2ban que hace que no arranque aunque no se encuentre el archivo de socket.

La solución aparece en el comentario #2 y consiste en editar el archivo /etc/conf.d/fail2ban, y cambiar la opción a la que pone -x.

Lo hice y ahora funciona perfectamente.

Todo ésto lo digo para aquellos que les pase lo mismo que a mi

Salu2

Demiurgo
05/11/2008, 20:30
Antes que nada perdón por revivir el tema.
Añadir que el puerto que se indica en la configuración del fail2ban debe ser cambiado por el valor del puerto actual del ssh, en caso de que sea diferente.
Sino toma por defecto el 22. Idem con el ftp.

duna3000
14/08/2008, 22:35
He vuelto a repetir el proceso y a reiniciar y he conseguido que funcione la funciòn de enviarme un mail cuando alguien conecta pero el fail2ban sigue sin funcionar

duna3000
14/08/2008, 20:29
Pues no soy capaz. Tampoco consigo que me funcione lo de enviarme un mail cuando alguien conecta.

Peich
14/08/2008, 15:01
A mi me funcionó bien después de reiniciar como dice Ferny /etc/init.d/fail2ban stop y /etc/init.d/fail2ban start

duna3000
14/08/2008, 11:38
Me vuelve a ocurrir lo mismo. Yo tambien tengo la release 2.

Ferny
14/08/2008, 11:21
Prueba en este orden:

/etc/init.d/fail2ban zap
/etc/init.d/fail2ban start

De todas formas si sigue sin funcionar... pueden ser mil cosas, deberías investigarlo. Los pasos que di son para la Release 2, a mi me funciona bien así, pero cada servidor es un mundo...

duna3000
14/08/2008, 11:07
Ferny he hecho eso y me aparece el siguiente mensaje:

Failed to start fail2ban [ !! ]

Ferny
14/08/2008, 07:06
El fail2ban se activa y desactiva con estos comandos:

/etc/init.d/fail2ban start
/etc/init.d/fail2ban stop

duna3000
14/08/2008, 01:14
Yo estoy igual. ¿lo has conseguido?


Cita Publicado inicialmente por Peich
Hola,

a mi tb me tiene frito esa IP. Ya instalé el fail2ban ese. Hay que reiniciar algo después de instalarlo para que funcione? porque no veo que me banee nada ...

Gracias

Raikkon
12/08/2008, 21:17
Jeje, creo que con tantas medidas de seguridad no vamos a tener problemas con los hackers.

Una duda, recuerdo algo de que eran más seguros los puertos altos, como por ejemplo, 48760 (recordemos que los puertos van de 1 a 65535).
¿Esto es así?

Saludos.

Ferny
12/08/2008, 17:20
Seguro que también os interesará esto: http://foros.ovh.es/showpost.php?p=10997&postcount=3

Al cambiar los puertos de SSH y FTP veréis cómo fail2ban deja de enviaros reportes, ya que los ataques se hacen casi siempre a los puertos "estándar" al estar automatizados (utilizan bots), por lo que al cambiar los puertos el ataque falla.

Peich
12/08/2008, 16:22
Hola a mi me gustaría saber si es recomendable enviar a OVH los correos que me me manda el fail2ban de los intentos desde la propia red de OVH??? Realmente OVH tiene en cuenta ésto para tomar medidas???? Pq a mi todos los días intentan loguearse varias IPs de OVH ...

Lo digo más que nada por no perder el tiempo enviándolos ...

Me parece muy buena idea lo q dice Raikkon. Creo que estaría bien crear una sección How-to para todas estas cosas o por lo menos unos cuantos sticky-posts.

Salu2

Raikkon
12/08/2008, 15:05
El hilo tiene un par de meses, pero bueno. Ferny, muchísimas gracias por subir estos tutoriales.

Una idea, ya que parece que muchos de los ataques provienen de la red interna, podríamos banear en el firewall todo el rango de IPs de la misma, por lo visto es 91.121.*.*

Lo malo es que nos llevaríamos por delante los servers de monitoraje... aunque se podrían excluir, las IPs están en Guías.

Podríamos reunir en un hilo los mejores tutoriales para asegurar la seguridad de nuestros servidores. Si OVH los promocionase ya sería la leche.

Un saludo.

lemsky
12/08/2008, 14:23
A ver con:

fail2ban-client start

Peich
05/07/2008, 10:40
Hola,

a mi tb me tiene frito esa IP. Ya instalé el fail2ban ese. Hay que reiniciar algo después de instalarlo para que funcione? porque no veo que me banee nada ...

Gracias

abse
03/07/2008, 21:45
Esta IP me esta intentando entrar: 91.121.112.151

BANEARLA

Ferny
03/07/2008, 13:11
Por ejemplo intenta loguearte en tu servidor por SSH y poniendo mal la contraseña, así resultarás baneado por un tiempo.

Si por ejemplo tienes configurado que banee los intentos de conexión por el puerto SSH, en una ventana de tiempo de 600 segundos, y un máximo de intentos de 3, basta que pongas 3 veces mal la contraseña en 10 minutos para que te banee. Recibirás un email en la cuenta que hayas configurado. Eso sí, si lo pruebas así pon que el tiempo de baneo sea de 5 minutos o menos, para que puedas volver a acceder al servidor sin tener que esperar mucho... una vez probado ya lo dejas en su valor habitual.

La opción B es hacer esto mismo pero desde otra conexión de internet, de forma que cambie la IP. O también puedes dejarlo activado y esperar a recibir alguna confirmación por email, a mi me llegan varias cada día...

il15
03/07/2008, 12:56
gracias por el tuto, por cierto como se si Fail2Ban está funcionando y lo he instalado bien?

josu
03/07/2008, 09:01
Cita Publicado inicialmente por abse
Tambien muy agradecido con ella, pero creo que OVH deberia de empezar tambien a tomar cartas en el asunto.

Un saludo
Para eso está la dirección "abuse@ovh.net", reportarlo....

Saludos..

abse
02/07/2008, 22:35
Cita Publicado inicialmente por NetLorK
Muchas gracias por esta guia, viene muy bien, todo sea por mejorar nuestra seguridad
Tambien muy agradecido con ella, pero creo que OVH deberia de empezar tambien a tomar cartas en el asunto.

Un saludo

NetLorK
02/07/2008, 12:02
Muchas gracias por esta guia, viene muy bien, todo sea por mejorar nuestra seguridad

outime
01/07/2008, 16:21
Podéis instalar Fail2Ban, o bien crear una regla en el firewall para que sólo acepte X conexiones de cualquier IP al puerto SSH cada tiempo estipulado. Una o dos cada minuto estaría bien desde una misma IP.

Ferny
01/07/2008, 16:13
Pues hoy en pocas horas he recibido varios avisos de Fail2Ban, todos de IP de OVH, ya empieza a ser precupante...

http://91.121.87.54 - Ataque SSH
http://91.121.199.174 - Ataque SSH
http://91.121.105.13 - Ataque SSH
http://91.121.117.75 - Ataque FTP

Power
24/06/2008, 22:30
Muchas gracias, Ferny, por el tutorial de Fail2Ban.
Creo que me será muy útil.

Saludos

SuperViruS
24/06/2008, 18:50
Gracias por la guia Ferny, nunca esta de mas tener una capa mas de proteccion.http://foros.ovh.es/images/icons/icon14.gif

Sobre el aumento de servidores hakeados, para mi que a crecido proporcionalmente a la cantidad de nuevos usuarios que no tienen los suficientes conocimientos (y se instalan Windows ) y no se preocupan de la seguridad de su servidor, mas cuando por ejemplo el Windows, es muy sensible a ser atacado.

En mi caso de momento, nadie me ha intentado forzar la puerta, pero nunca se sabe.... :confused:

Ferny
24/06/2008, 18:42
Recibir por correo alertas de acceso SSH

Es posible hacer que se envíe un email cada vez que se abra con éxito una conexión SSH, de esta forma nos podemos enterar de conexiones no autorizadas. Para ello, simplemente hay que crear los siguientes archivos:

/etc/ssh/notify
Código:
# Lista de destinatarios para las alertas de acceso SSH
#
# Formato:
#   direccion[,direccion] [cc|bcc]
#
# Se pueden indicar varias direcciones en distintas lineas o separadas por comas
# Las opciones "cc" y "bcc" marcan la direccion(es) de destino como "Cc:" or
# "Bcc:", respectivamente.
#
# Las lineas en blanco o con # en la columna 1 son ignoradas.
#
# Es importante que la ultima linea del fichero sea una linea en blanco
#
email@dominio.com
otroemail@otrodominio.com bcc
/etc/ssh/sshrc
Código:
# Enviar una alerta con los detalles de la conexión
#

cuando=`/bin/date`
donde=`echo $SSH_CONNECTION|cut -f1 -d' '|cut -f4 -d:`
if [ -z "$SSH_TTY" ] ; then
   que="Conexion de $USER"
else
   que="Login de $USER en $SSH_TTY"
fi

mailto=""
cc_to=""
bcc_to=""
while read direccion mode
do
        if [ -z "$direccion" -o "${direccion:0:1}" = "#" ] ; then continue; fi
        if [ "x$mode" = "xcc" -o "x$mode" = "xCC" ] ; then
                cc_to=${cc_to:+${cc_to},}$direccion
        else
                if [ "x$mode" = "xbcc" -o "x$mode" = "xBCC" ] ; then
                        bcc_to=${bcc_to:+${bcc_to},}$direccion
                else
                        mailto=${mailto:+${mailto},}$direccion
                fi
        fi
done &2 <<-EOM
   ${que} desde ${donde} el ${cuando}
EOM
El primer archivo contiene las direcciones email a las que se envían las alertas. Ahí podéis poner las direcciones de correo que queráis, eso sí os recomiendo poner alguna externa al servidor (una de gmail, yahoo o similares), ya que si ponéis vuestro correo del servidor, un atacante podría borrar el email y no os enteraríais de que habéis sido atacados.

El segundo es el script que se ejecuta automáticamente cuando se inicia la conexión y antes de que el directorio home del usuario esté accesible (este script a su vez lee el archivo notify).

Estos archivos deben tener permisos 644.

nsxxxxxx~ # chmod 644 /etc/ssh/notify
nsxxxxxx~ # chmod 644 /etc/ssh/sshrc

Ferny
24/06/2008, 18:41
Instalación Fail2Ban (anti ataques por fuerza bruta)

Fail2Ban es una aplicación que se encarga de monitorizar archivos log y banear aquellas IP que comentan demasiados errores de autentificación. Su funcionamiento es muy sencillo: un demonio vigila un archivo log (por ejemplo /var/log/auth.log); si las entradas que se producen en ese archivo coinciden y se repiten un número de veces dado con alguno de los patrones (filtros), se ejecuta una acción determinada.

Todos los pasos explicados acá están basados en la Release 2 de OVH y han sido probados tanto con configuraciones de 32-bit como de 64-bit. También se han realizado conectado al servidor por ssh con el usuario root.

Primero hay que instalar Fail2Ban. Creará un archivo para iniciar o parar el demonio en /etc/init.d/fail2ban, y los archivos que permiten configurarlo en /etc/fail2ban/

nsxxxxxx~ # emerge fail2ban

Para que arranque al reiniciar el servidor, hay que hacer lo siguiente:

nsxxxxxx~ # rc-update add fail2ban default

Ahora toca configurarlo. Se edita el archivo /etc/fail2ban/fail2ban.conf

nsxxxxxx~ # nano /etc/fail2ban/fail2ban.conf

En principio, con poner en logtarget la dirección del archivo log para fail2ban es suficiente (/var/log/fail2ban.log). El resto se deja como viene por defecto. Ahora hay que editar el archivo de las cárceles, situado en /etc/fail2ban/jail.conf

nsxxxxxx~ # nano /etc/fail2ban/jail.conf

Dentro de este archivo, bantime establece el tiempo de baneo (por ejemplo poner 21600 segundos, que son 6 horas), findtime indica en qué intervalo de tiempo deben buscarse los fallos (por ejemplo 900 segundos), y maxretry es el número máximo de fallos permitidos en ese intervalo (por ejemplo 3). El backend hay que dejarlo en automático.

Además de estas variables globales, existen una serie de cárceles. Cada cárcel tiene una serie de parámetros. Un ejemplo:

- [ssh-iptables]: nombre de la cárcel.
- enabled: debe estar en true para activarla, en caso contrario false.
- filter: filtro que se usará para buscar los fallos. Es el nombre de uno de los archivos .conf situados en /etc/fail2ban/filter.d/
- action: indica la acción o acciones que se llevarán a cabo en caso de darse el filtro. Es el nombre de uno o varios de los archivos .conf situados en /etc/fail2ban/action.d/ En las acciones de email, hay que poner el email en que se quieren recibir los avisos.
- logpath: nombre del archivo o archivos log a monitorizar por la cárcel.
- maxretry y bantime: similares a las variables globales, pero permite cambiar el valor para una cárcel determinada.

Por defecto el archivo ya trae algunas cárceles predefinidas, de las que son de utilidad las de SSH y ProFTPd (para detectar fallos de autentificación por SSH y por FTP).

Los filtros se pueden editar en la carpeta /etc/fail2ban/filter.d/, aunque en principio no es necesario cambiar nada. Ahí están las expresiones regulares que se buscarán en los logs. Las acciones también se pueden editar en la carpeta /etc/fail2ban/action.d/, pero tampoco es necesario cambiarlas.

A continuación un ejemplo de cómo quedan las cárceles para banear IP atacantes a los puertos de FTP y SSH (que son las que recomiendo tener siempre activadas):

Código:
[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           mail-whois[name=SSH, dest=email@dominio.com]
logpath  = /var/log/auth.log
maxretry = 3

[proftpd-iptables]

enabled  = true
filter   = proftpd
action   = iptables[name=ProFTPD, port=ftp, protocol=tcp]
           mail-whois[name=ProFTPD, dest=email@dominio.com]
logpath  = /var/log/auth.log
maxretry = 3

Power
24/06/2008, 18:01
Yo utilizo fail2ban para estos casos y va de muerte Si os interesa os subo unos apuntes de cómo instalarlo y usarlo
Hola,

Pues sí me interesa (y seguro que a otros también).
Si puedes subir esos apuntes al foro o a alguna web, te lo agradeceré.

Saludos

Reox
24/06/2008, 13:00
Cita Publicado inicialmente por Ferny
Un detalle más, en las últimas semanas he notado un significativo aumento de baneos a ip's de OVH, del tipo 91.121.X.X, ¿será que hay cada vez más servidores de OVH hackeados? ¿Habéis notado lo mismo?

Saludos
Si, sobre todo en intentos de fuerza bruta a ssh y ftp.

Ferny
24/06/2008, 10:59
Yo utilizo fail2ban para estos casos y va de muerte Si os interesa os subo unos apuntes de cómo instalarlo y usarlo

Un detalle más, en las últimas semanas he notado un significativo aumento de baneos a ip's de OVH, del tipo 91.121.X.X, ¿será que hay cada vez más servidores de OVH hackeados? ¿Habéis notado lo mismo?

Saludos

Rarok
24/06/2008, 10:07
Y ya puestos despues de banearla avisa a ovh y a los dueños del servidor.

Reox
24/06/2008, 09:51
Lo malo del tema es que al ser de OVH estan en la misma LAN y te puede tumbar el servidor.

Banea la ip.

MarcosBL
23/06/2008, 20:22
Dns resolved 91.121.142.60 to ks356462.kimsufi.com

http://ks35942.kimsufi.com/ -> billete-avion.es

Copyright © 2007 billete-avion.es - todos derechos reservados.
Easyvoyage Network

Easyvoyage Network -> http://www.easyviajar.com

Contacto en http://www.easyviajar.com/mentions-legales.jsp

neojordan
23/06/2008, 14:51
Cita Publicado inicialmente por lata
Más de 100.000 intentos de entrar en mi servidor por parte de esta IP. Parece de otro server de OVH.
baneala

lata
23/06/2008, 14:50
Más de 100.000 intentos de entrar en mi servidor por parte de esta IP. Parece de otro server de OVH.