Estimados: Para mi la mejor manera de solucionar esto es ponerse paranoico y generar "una clave de scaneo de apertura de puerto" el ejemplo seria el siguiente consutar el puerto 34 luego el puerto 70 , luego el puerto 72 y leugo puerto 73 , con esta secuencia de escaneo se abriria el puerto 22 por 5 segundos y luego se cierra. (bloqueando conexiones Nuevas, y solo dejar pasar conexiones establecidas).
/sbin/iptables -N INTO-PHASE2 /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set /sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix "INTO PHASE2: " /sbin/iptables -N INTO-PHASE3 /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set /sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix "INTO PHASE3: " /sbin/iptables -N INTO-PHASE4 /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set /sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix "INTO PHASE4: " /sbin/iptables -A INPUT -m recent --update --name PHASE1 /sbin/iptables -A INPUT -p tcp --dport 34 -m recent --set --name PHASE1 /sbin/iptables -A INPUT -p tcp --dport 70 -m recent --rcheck --name PHASE1 -j INTO-PHASE2 /sbin/iptables -A INPUT -p tcp --dport 72 -m recent --rcheck --name PHASE2 -j INTO-PHASE3 /sbin/iptables -A INPUT -p tcp --dport 73 -m recent --rcheck --name PHASE3 -j INTO-PHASE4 iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name PHASE4 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP 2011/10/13 Yoinier Hernandez Nieves <ynie...@lt.datazucar.cu> > El 13/10/11 10:21, Jesús Rivas escribió: > > Creo que cambiando el puerto ssh no es una solucion, pues te dan un port > > scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, > > pues no tengo problemas en cambiar el puerto. > > > > Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como > > limitar el numero de intentos y el tiempo para logearse. > > > > Creo que no puedo moverle para que solo unas ip entren al servidor por > > ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se > > puede agradeceria la aportacion. > > > > > > El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió: > >> cambia el puerto de ssh > >> > >> César D. Cruz Arrunátegui > >> > >> > >> ----- Mensaje original ----- > >> De: "Jesús Rivas"<je...@evangelizacion.org.mx> > >> Para: centos-es@centos.org > >> Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia > >> Asunto: [CentOS-es] Intento de Hackeo > >> > >> Hola gente, tenemos un servidor con centos 5 y en el log secure veo > >> intentos de acceso por ssh muy seguramente un script (checando la IP > >> google dice que es alguien de beijing). > >> > >> Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip > >> cambio y siguio cambiando, entonces no veo el caso de estar agregando > >> las ip al hosts.deny > >> > >> Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es > >> una buena practica de seguridad, asi como tambien limitar el numero de > >> intentos el tiempo para poner la contraseña y ahi de ratos veo en el log > >> intentos de acceso por ahi, pero pues por ahi ya no podra entrar. > >> > >> ¿Alguna otra recomendacio que me puedan dar para evitar esto? > >> _______________________________________________ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> http://lists.centos.org/mailman/listinfo/centos-es > >> > >> > > > > cuando te refieres a IP dinamicas, tu ISP no te da cualquier IP, sino > algun IP de los bloques que le fueron asignados, lo que puedes hacer es > averiguar los rangos IP de tu proveedor, y solo permites esos IP, con > eso limitas bastante las IP que puedan acceder a tu SSH. > > Yo. > -- > Yoinier Hernández Nieves. > Administrador de Redes. > División ZETI > Nodo Provincial Datazucar Las Tunas. > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- _________________________________________ Juan Pablo Sabino I. Ing Consultor - Linux Specialist RedHat Certified Engineer (RHCE) RedHat Certified Instructor (RHCI) Elastix Certified Engineer (ECE) Departamento Proyectos e Implementación Cel: +56 9 9842 3494 _________________________________________ _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
