Principal » Foros » Servicio Técnico

Protocolo ssh e intentos de conexión interminables desde la misma ip (solucionado)

Enviado por bravas el 30 Marzo, 2008 - 14:45.

Hola uso ssh para conectarme desde el trabajo a mi casa.El caso que tengo el sshd escuchando por el puerto 22.

Pero si ejecuto en mi consola un :


[root@localhost ~]# cat /var/log/messages | grep ssh  


Mar 30 12:43:30 localhost sshd[7317]: Failed password for root from 218.6.169.95 port 52451 ssh2
Mar 30 12:43:30 localhost sshd[7317]: Excess permission or bad ownership on file /var/log/btmp
Mar 30 12:52:22 localhost sshd[7454]: Did not receive identification string from 147.8.162.157
Mar 30 13:02:10 localhost sshd[7520]: Invalid user webmaster from 147.8.162.157
Mar 30 13:02:10 localhost sshd[7520]: Excess permission or bad ownership on file /var/log/btmp
Mar 30 13:02:10 localhost sshd[7520]: error: Could not get shadow information for NOUSER
Mar 30 13:02:10 localhost sshd[7520]: Failed password for invalid user webmaster from 147.8.162.157 port 53345 ssh2
Mar 30 13:02:10 localhost sshd[7520]: Excess permission or bad ownership on file /var/log/btmp
Mar 30 13:02:17 localhost sshd[7522]: Failed password for root from 147.8.162.157 port 54191 ssh2
Mar 30 13:02:17 localhost sshd[7522]: Excess permission or bad ownership on file /var/log/btmp

Leo infinitos intentos de conexion por parte de estos dos hijos de puta 218.6.169.95 y 147.8.162.157.

Me parece que si pongo el servidor ssh escuchando de otro puerto que no sea el 22 se solucionaria el problema ¿es asi? ¿como lo haceis vosotros?

Y otra duda que me asalta.....¿esas direciones ip que intentan conectarse,será el dueño de la computadora consciente o estaran infectados de algun tipo de virus???

Gracias

Un saludo

‹ ¿Que hace el protocolo IGMP? (Solucionado) ¿Como instalo Emerald Theme? ›

Opciones de visualización de comentarios

Seleccione la forma que desee de mostrar los comentarios y haga clic en «Guardar opciones» para activar los cambios.
Gravatar de drakedalfa

# 48181: Usa llaves ssh

Enviado por drakedalfa el 30 Marzo, 2008 - 15:43.

Usa llaves ssh, asi no necesitaras tener las contraseñas activadas:

SSH
http://www.mandriva.francescmm.com/entrada.php?post=8

--
¿Quien es Jesucristo?

»
Gravatar de SinnerBOFH

# 48184: ssh

Enviado por SinnerBOFH el 30 Marzo, 2008 - 16:21.

Hola,

Como cualquier otro sistema conectado a internet, tu ordenador va a ser detectado en menos de 15 minutos y, seguramente, va a pasar a ser escaneado para saber de que servicios dispone.

Asi, te van a pasar los scripts automatizados de rigor para pillarte algun usuario con alguna contraseña "debil" para jueinquearte la maquina.

Es lo mas normal del mundo.

Por ello aqui tienes varias recomendaciones (por orden de importancia):

0. Asegurarte que tienes tu sistema actualizado en todo momento.

1. no usar contraseñas debiles ni usuarios "famosos" (y desactiva la posibilidad de conectarse a ssh como root directamente)

2. usar llaves para conectarte sin necesidad de contraseñas

3. cambiar el puerto de SSH, del 22 a otro (por encima del 1024) que unicamente tu sepas.

Salut,
Sinner

Linux User # 89976 - Blog de SinnerBOFH

»
Gravatar de bravas

# 48185: Muchas gracias !!

Enviado por bravas el 30 Marzo, 2008 - 17:48.

Me pongo en seguida con los cambios ,y ya os contaré que tal.

Gracias! de nuevo a ambos,muy util la información.

If a million people say a foolish thing, it is still a foolish thing. -Anatole France [Jacques Anatole Thibault] (1844-1924)

»
Gravatar de motitos

# 48187: Un par de soluciones más

Enviado por motitos el 30 Marzo, 2008 - 18:50.

Hola:

Como ya conoces dichas ips, puedes generar una regla iptables que ignore todas las llamadas desde esas ips a mano. La desventaja es que si lo intentan desde otra máquina, estás en las mismas. Para solucionar esto, puedes instalar un demonio que te proteja contra ataques de fuerza bruta. Hay varios, por ejemplo sshutout o sshguard, ambos en los repositorios de Mandriva. Básicamente, lo que hacen es que revisan los ficheros log y cuando ven un número (configurable) de intentos fallidos desde la misma ip (por ejemplo 3, o 10), generan una regla iptables que ignora las llamadas desde esas ips hasta 24 horas, de manera que si envian algun otro intento, se quedan esperando la respuesta.

MOT

»
Gravatar de drakedalfa

# 48189: Script para evitar ataques

Enviado por drakedalfa el 30 Marzo, 2008 - 19:16.

http://freshmeat.net/projects/denyhosts

DenyHosts is a script intended to help Linux system administrators thwart ssh server attacks. DenyHosts scans an ssh server log, updates /etc/hosts.deny after a configurable number of failed attempts from a rogue host is determined, and alerts the administrator of any suspicious logins.

--
¿Quien es Jesucristo?

»
Gravatar de bravas

# 48191: Parece una gran idea

Enviado por bravas el 30 Marzo, 2008 - 19:40.

Tambien pondré el uso el script ,parece una idea buena .

Muchas gracias

Un saludo

If a million people say a foolish thing, it is still a foolish thing. -Anatole France [Jacques Anatole Thibault] (1844-1924)

»