OVH Community, your new community space.

intentos de login desde 88.220.124.194 y 218.249.108.182


Salteador
26/11/2008, 12:47
EL CSF lo tengo como avisador mas que nada, me avisa los los intentos de subir archivos por medio de mod security, los envios de mail de nobody, los acceso shell y sftp, abuso de pop3, y alguno mas que me dejo.

El apf principalmente para los ataques de fuerza bruta.

Recomiendan quitar el apf, pero tuve una mala experiencia y lo tengo que tal manera que los 2 trabajan bien y no se molestan y me va a las mil maravillas.

Power
26/11/2008, 07:25
Mi servidor usa WHM/cPanel.
Y hasta ahora tenía APF + BFD.
Pero había leído las bondades de CSF y pensaba pasarme a él.
Sobre todo, parece que se integra muy bien con WHM.

Parece que a Salteador le va muy bien con CSF y estoy a la espera de que Ionas nos cuente cómo le va a él.

Yo el csf lo tengo instalado en 3 servidores y me va bastante bien, lo uso junto al apf.
En la documentación de CSF dice que no se debe instalar nunca con APF + BFD.
De hecho, con CSF viene un script para desinstalar APF + BFD

Conoceis algo similar para plesk?
Aunque, al parecer, CSF se integra muy bien con WHM/cPanel, según la documentación, se puede hacer funcionar en otros sistemas sin cPanel.
Incluso hay un móodulo para poder manejarlo desde Webmin.

Saludos

kennysamuerto
25/11/2008, 21:11
Conoceis algo similar para plesk?

Porque a mi me gustaria bloquear ciertas ip's.

Yo mi principal problema, es que hay unas ip's realizando escaneos constantes. Y me empieza a asustar.

Saludos

Salteador
25/11/2008, 19:31
Pues yo el APF lo vengo utilizando 4 años y excepto 1 vez por culpa del iptables nunca me ha dado problemas y junto al modulo bfd una maravilla.

benji
25/11/2008, 16:13
A mi el APF, me dava problemas con el FTP modo pasivo/activo..., yo no lo recomendaria.

benji
25/11/2008, 16:11
Siempre hay Intentos de login... la questión es, tener un Buen password, y en todo caso, bloquear el puerto SSH a un rango de ip's español, o solo a tu IP en caso de tenerla fija, a nivel de firewall, y si es firewall hardware, mejor. Pero al menos, como mínimo, tener un buen password i cambiarlo de vez en cuando.

Es lo mismo que tener una cerradora, mientras la cerradura sea buena, los mas pringaos no entraran, pero los mas buenos, siempre podran entrar (tended en cuenta que hasta se han metido en la nasa, y no vais a tener la misma seguridad que en la nasa, ni de coña...), con lo que, si alguien intenta loguearse es lo mas normal del mundo....

Salu2.

lonas
25/11/2008, 13:28
esta tarde me pondre a instalarlo ya que antes he estado mirando como va la instalacion y he estado buscando info sobre esto para ver los posibles problemas que puedan surgit y de momento todo lo que he leido es bueno por lo que esta tarde me pondre a instalarlo haber que tal.

Salteador
25/11/2008, 08:41
Yo el csf lo tengo instalado en 3 servidores y me va bastante bien, lo uso junto al apf.

Aunque tambien me canse hace tiempo de los mensajes de scan, bloquee el puerto 22 y puse otro, me ahorro unos 200 mails diarios de dichosas maquinas infectadas o de individuos que no tienen nada mejor que hacer.

Power
25/11/2008, 07:53
Cita Publicado inicialmente por lonas
gracias tios voy haber si con alguno de esos dos dejo de recibir estos intentos de login.
No creo que sea malo recibir esos avisos de intentos fallidos de login.
Ahora bien, lo que hay que tener son las herramientas adecuadas para que cuando esos intentos fallidos son muchos, se banee la IP del atacante.

Yo también uso cPanel y estaba pensando instalar http://www.configserver.com/cp/csf.html

Ionas, si lo instalas, porfa, cuenta qué tal te va. Gracias.

Saludos

lonas
25/11/2008, 00:55
gracias tios voy haber si con alguno de esos dos dejo de recibir estos intentos de login.

davidlig
24/11/2008, 23:32
Pues yo recomiendo el fail2ban que ademas Ferny posteo un tutorial cojonudo:
http://foros.ovh.es/showthread.php?p=9019#post9019

Un saludo y suerte

kitamarchas
24/11/2008, 23:03
Interesante hilo, posteo para ver la evolución

Salteador
24/11/2008, 20:04
Solo te avisa

failed login (ya te dice que failed)

Hay un firewall que esta funcionando muy bien con cpanel, te avisa y bloquea todos los ataques, ademas te avisa de programas sospechosos, y envios masivos de spam entre otras cosas.

http://www.configserver.com/cp/csf.html (solo cpanel)

lonas
24/11/2008, 13:47
ademas en el cphulk me sale esto esta vez

Brutes (Excessive Login Failures)
IP Notes Begin Expiration
nms.ghanatel.com.gh failed login attempts to account porno (system) -- Large number of attempts from this IP: nms.ghanatel.com.gh 2008-11-24 14:42:59 2008-12-08 14:42:59


¿quiere decir que han conseguido entrar?

lonas
24/11/2008, 13:45
como puedo restringir o blokear esta direccion y todas las ip que me intentan entrar en el Host Access Control por que me pone algo asi como esto :

Daemon Access List Action Comment
y no se como ponerlo para bloquearle o banearle en mi servidor

lonas
24/11/2008, 13:42
nada pues ahora mismo es por segundos me intentan entrar por fuerza bruta desde esta ip que no es una ip http://nms.ghanatel.com.gh/

kuri
10/11/2008, 17:57
Siempre se puede usar iptables y permitir acceso al puerto 22 solo a tus ips

Saludos.

lonas
09/11/2008, 22:20
gracias voy a ver como instalarlo tengo whm + cpanel

Salteador
09/11/2008, 19:01
Instala el APF + Brute force, el solo te bloqueara esos ataques.

Los ataques de fuerza bruta son mormales, suelen ser maquinas infectadas que se dedican a scanear redes, van por rangos de IPs,no es la primera vez que me sufrido ataques de este tipo de la misma IP en diferentes servidores de la misma red.

Lo primero es un firewall, despues si te sobra tiempo hacerle un whois a la IP y enviar el log al mail de abuse para que tomen medidas.

http://rm-rf.es/como-instalar-y-conf...orce-detector/

http://www.webhostgear.com/61.html

VirtualMedia
09/11/2008, 18:13
Puedes instalar DenyHosts, es muy configurable y decides que numero de intentos de acceso ssh fallidos, entre otras muchas opciones.

lonas
09/11/2008, 12:41
pues entonces OVH tendra que poner remedio a esto supongo ¿no? por que yo ya no se me ocurre que mas hacer hoy tambnien lo han vuelto a intentar desde aqui 68-89-61-217.ded.swbell.net y esto ya empieza a ser cansino.

DjYXA
09/11/2008, 11:58
Cita Publicado inicialmente por lonas
pues ni haciendo estos cambios ahora lo han intentado desde aqui : 68-89-61-217.ded.swbell.net y desde 64.235.196.132


Failed Logins
User IP Authentication Service Login Time
paradise 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:46
b1ablo 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:42
diablo 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:38
logic 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:35
t1na 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:31
t1na 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:27
sgi 64.235.196.132 system 2008-11-08 23:10:11
samba 64.235.196.132 system 2008-11-08 23:05:10
office 64.235.196.132 system 2008-11-08 23:05:07
alias 64.235.196.132 system 2008-11-08 23:05:04
recruit 64.235.196.132 system 2008-11-08 23:05:01
staff 64.235.196.132 system 2008-11-08 23:04:55
sales 64.235.196.132 system 2008-11-08 23:04:58
Nos esta atacando el mismo??? increible!!!

Nov 9 11:19:35 sXXXX sshd[3016]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68-89-61-217.ded.swbell.net
Nov 9 11:19:36 sXXXX sshd[3016]: Failed password for invalid user slim from 68.89.61.217 port 58106 ssh2
Nov 9 11:19:38 sXXXX sshd[3020]: Invalid user eminem from 68.89.61.217
Nov 9 11:19:38 sXXXX sshd[3020]: pam_unix(sshd:auth): check pass; user unknown
Nov 9 11:19:38 sXXXX sshd[3020]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68-89-61-217.ded.swbell.net
Nov 9 11:19:40 sXXXX sshd[3020]: Failed password for invalid user eminem from 68.89.61.217 port 58458 ssh2
Nov 9 11:19:42 sXXXX sshd[3026]: Invalid user manager from 68.89.61.217
Nov 9 11:19:42 sXXXX sshd[3026]: pam_unix(sshd:auth): check pass; user unknown
Nov 9 11:19:42 sXXXX sshd[3026]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68-89-61-217.ded.swbell.net
Nov 9 11:19:44 sXXXX sshd[3026]: Failed password for invalid user manager from 68.89.61.217 port 58740 ssh2
Nov 9 11:19:47 sXXXX sshd[3030]: Invalid user manager from 68.89.61.217
Nov 9 11:19:47 sXXXX sshd[3030]: pam_unix(sshd:auth): check pass; user unknown
Nov 9 11:19:47 sXXXX sshd[3030]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68-89-61-217.ded.swbell.net
Nov 9 11:19:49 sXXXX sshd[3030]: Failed password for invalid user manager from 68.89.61.217 port 59049 ssh2
Nov 9 11:19:51 sXXXX sshd[3034]: Invalid user manager from 68.89.61.217
Nov 9 11:19:51 sXXXX sshd[3034]: pam_unix(sshd:auth): check pass; user unknown
Nov 9 11:19:51 sXXXX sshd[3034]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68-89-61-217.ded.swbell.net
Nov 9 11:19:52 sXXXX sshd[3034]: Failed password for invalid user manager from 68.89.61.217 port 59373 ssh2
Nov 9 11:19:54 sXXXX sshd[3040]: Invalid user manager from 68.89.61.217
Nov 9 11:19:55 sXXXX sshd[3040]: pam_unix(sshd:auth): check pass; user unknown
Nov 9 11:19:55 sXXXX sshd[3040]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68-89-61-217.ded.swbell.net
Nov 9 11:19:56 sXXXX sshd[3040]: Failed password for invalid user manager from 68.89.61.217 port 59640 ssh2
Nov 9 11:19:58 sXXXX sshd[3044]: Invalid user manager from 68.89.61.217
Nov 9 11:19:58 sXXXX sshd[3044]: pam_unix(sshd:auth): check pass; user unknown
Nov 9 11:19:58 sXXXX sshd[3044]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68-89-61-217.ded.swbell.net
Nov 9 11:20:00 sXXXX sshd[3044]: Failed password for invalid user manager from 68.89.61.217 port 59938 ssh2
Me da por pensar.. que el problema no esta en que ataquen nuestras webs... sino que a lo que atacan es a los servidores de OVH... es muchisima casualidad de que nos ataquen los mismos a distintos servidores, eso quiere decir que hay gente que esta atacando los servidores de OVH...

Salu2!

lonas
09/11/2008, 01:28
pues ni haciendo estos cambios ahora lo han intentado desde aqui : 68-89-61-217.ded.swbell.net y desde 64.235.196.132


Failed Logins
User IP Authentication Service Login Time
paradise 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:46
b1ablo 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:42
diablo 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:38
logic 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:35
t1na 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:31
t1na 68-89-61-217.ded.swbell.net system 2008-11-09 02:19:27
sgi 64.235.196.132 system 2008-11-08 23:10:11
samba 64.235.196.132 system 2008-11-08 23:05:10
office 64.235.196.132 system 2008-11-08 23:05:07
alias 64.235.196.132 system 2008-11-08 23:05:04
recruit 64.235.196.132 system 2008-11-08 23:05:01
staff 64.235.196.132 system 2008-11-08 23:04:55
sales 64.235.196.132 system 2008-11-08 23:04:58

itimag
07/11/2008, 22:45
lo suyo en deshabilitar el acceso root. Para poder seguir teniendo acceso al ssh, debes añadir esto en el fichero de configuración de ssh:

Código:
AllowUsers usuario1 usuario2 usuarioN
Nota: usuario1, usuario2, etc son los usuarios que van a tener acceso por ssh. Nótese que van separados por espacios.

A parte de esto, puedes cambiar el puerto de acceso a ssh por otro (yo lo he hecho) o bien instalar fail2ban para evitar los intentos de hack por fuerza bruta.

Puedes ver un manual con más detalles en mi blog .

Un saludo.

lonas
07/11/2008, 20:12
gracias tios compis voy a ver si consigo cambiar el puerto y haber si asi dejan de intentarlo.

sdzzds
07/11/2008, 18:16
claro, pero es mas facil cambiar el puerto del 22 a otro:

Entras en consola e introduces:

pico /etc/ssh/sshd_config

Te saldrá:

Code:
#Port 22
#Protocol 2, 1
#ListenAddress 0.0.0.0
#ListenAddress ::

Descomentas y cambias el puerto

#Port 22

así:

Port 5678 (y escoges uun puerto de 4 a 5 numeros (49151 es el puerto maximo)

e instalar un programa como BFD (Brute Force Detection):

entras en root y metes en consolas: wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz

Con esto no debes tener problemas. Si quieres que te avise cuando alquien entra como root puede instalar un chivato por si acaso.

Power
07/11/2008, 17:19
Hola,

Supongo que poniendo: PermitRootLogin no , podré acceder con otro usuario habilitado para entrar por SSH y después tomar privilegios de root haciendo su

¿Es así?

Saludos

Jmanuel
07/11/2008, 14:33
Hombre, si te pone "Failed Logins" sera porque no han entrado : )

La configuración del servidor SSH se encuentra almacenada en el fichero /etc/ssh/sshd_config. Para deshabilitar el acceso de root, asegúrate de tener la siguiente entrada:

Código:
#Prevent root logins:
PermitRootLogin no
y reiniciar el servicio sshd:

Código:
service sshd restart

Por defecto, ssh escucha las conexiones entrantes en el puerto 22. Para que un hacker determine si ssh se está ejecutando en su máquina, lo más probable es que escanee el puerto 22. Un método efectivo es ejecutar ssh en un puerto no-estándar. Cualquier puerto sin usar funcionará, pero es preferible usar uno por encima del 1024.

Muchas personas escogen el 2222 como un puerto alternativo (porque es fácil de recordar), de la misma forma que el 8080 es conocido, a menudo, como un puerto HTTP alternativo. Por esta razón, probablemente esta no es la mejor opción. De la misma forma que cualquier hacker escaneará el puerto 22, seguramente también escaneará el puerto 2222 solo como buena medida. Es mejor escoger cualquier puerto alto al azar que no sea usado por ningún servicio conocido.

Para hacer los cambios añade una línea como esta tu fichero /etc/ssh/sshd_config:


# Ejecutar ssh en un puerto No-Estándar:
Port 2345 #Cámbiame

y reinicia el servicio sshd.

Recuerda hacer cualquier cambio necesario a los puertos de reenvío en su enrutador y a cualquier regla aplicable al cortafuegos.

Espero que te sirva : )

lonas
07/11/2008, 11:49
Pues eso amigos que esta mañana he recibido unos cuantos de email del cPHulk en donde se me indicaba que desde las ip 88.220.124.194 y 218.249.108.182

estaban intentando entrar como root y como otros user lo que no se si consiguieron entrar o no.

Failed Logins
User IP Authentication Service Login Time
root 88.220.124.194 system 2008-11-07 08:28:20
norton 88.220.124.194 system 2008-11-07 08:28:22
root 88.220.124.194 system 2008-11-07 08:28:17
pete 88.220.124.194 system 2008-11-07 08:28:25
root 88.220.124.194 system 2008-11-07 08:28:30
root 88.220.124.194 system 2008-11-07 08:28:34
aZs45ret 88.220.124.194 system 2008-11-07 08:33:36
root 88.220.124.194 system 2008-11-07 08:38:40
root 88.220.124.194 system 2008-11-07 08:43:41
root 88.220.124.194 system 2008-11-07 08:43:44
root 88.220.124.194 system 2008-11-07 08:43:47
news 88.220.124.194 system 2008-11-07 08:43:50
nagios 88.220.124.194 system 2008-11-07 08:48:52
root 88.220.124.194 system 2008-11-07 08:53:56
fetchmail 88.220.124.194 system 2008-11-07 08:58:56
fetchmail 88.220.124.194 system 2008-11-07 08:58:59
fetchmail 88.220.124.194 system 2008-11-07 08:59:02
root 88.220.124.194 system 2008-11-07 08:59:04
root 218.249.108.182 system 2008-11-07 10:12:32

esto es lo que me pone en el whm.


mi pregunta es ¿como puedo cambiar de forma sencilla tanto el puerto ssh (22) por otro diferente que sea menos usual y el usuario root como modificar ese nombre o desactivarlo temporalmente?

por otro lado agradeceria cualquier tipo de ayuda con la configuracion de seguridad en cpanel + whm + centos 5.2 muchas gracias por todo.