OVH Community, your new community space.

me han entrado por ssh desde esta ip 85.136.179.141


Power
08/02/2009, 00:06
Hola lonas,

¿De quien has recibido el mensaje de que te han entrado por el SSH?

¿Es un email del cPanel del servidor con algo así:
5 failed login attempts to account root@dominio.com (root) -- Large number of attempts from this IP: xx.xx.xx.xx?

En ese caso, es sólo que lo han intentado y el sistema de protección de cPanel se ha activado y le ha bloqueado el acceso temporalmente.

Saludos

Riemann
07/02/2009, 18:19
Cita Publicado inicialmente por lonas
como se cambiaba el puerto amigo?
En el fichero /etc/ssh/sshd_config verás una opción comentada:

#Port 22

La descomentas y cambias el puerto de 22 a cualquier otro, mejor que sea mayor a 1024 y que no corresponda a ningún servicio standard. Los scan de puertos suelen probar primero esos. Si lo configuras, por ejemplo a

Port 4597

luego tendrás que usar la opción -p de ssh para entrar:

ssh -p 4597 usuario@tu.maquina.net

Y no olvides reiniciar sshd, normalmente con

/etc/rc.d/sshd restart

(la ubicación del script cambia según las distribuciones). Saludos

lonas
07/02/2009, 14:24
de momento he cambiado el pasword aunque me es muy extraño que entrasen al server por ssh a la primera y no me llegara ningun intento de instruccion.

lonas
07/02/2009, 14:21
como se cambiaba el puerto amigo?

selce
07/02/2009, 14:10
Si tiene algun log miralo y te confirmara que ha pasado, si ha hecho login ok, si lo ha rechazado, lo mas probable es que sea un lamer, si te agobia mucho cambia el puerto o filtra ip etc

lonas
07/02/2009, 13:59
si de ono se que es y a entrado por que tengo instalado un sript que me avisa cuando entran al ssh y me reporta la ip y me han llegado bastanmtes email de instruccion.

Lo que no se ahora es que hacer dentro de el whm de cpanel o como ver si me han modificado algo.

trabajo con centos 5 y cpanel

selce
07/02/2009, 13:49
Una cosa es acceder al terminal y otra hacer un escan, contacto o intento de acceso que es lo mas normal que te puede pasar con un ssh abierto escuchando. Esa 85 parece cable-modem de Auna bajo Ono.

lonas
07/02/2009, 13:44
Pues que he recibido hace unos minutos varios email de que han accedido via ssh a mi servidor desde esta ip 85.136.179.141 ¿que hago ahora? ¿como actuo? a donde me dirijo?