Todo muy bien con el Fail2ban, ya ha baneado a 4 ip, me manda el correo y todo, a que organismo se pueden denunciar este tipo de infracciones o ataques, se que puede ser una utopia pero que les baneen la ip seria bueno,
Anexo uno de los correos del Fail2Ban: Hi, The IP 187.44.1.153 has just been banned by Fail2Ban after 3 attempts against SSH,IPFW. Here are more information about 187.44.1.153: [Querying whois.arin.net] [Redirected to whois.lacnic.net] [Querying whois.lacnic.net] [Redirected to whois.registro.br] [Querying whois.registro.br] [whois.registro.br] % Copyright (c) Nic.br % The use of the data below is only permitted as described in % full by the terms of use (http://registro.br/termo/en.html), % being prohibited its distribution, comercialization or % reproduction, in particular, to use it for advertising or % any similar purpose. % 2013-06-20 13:13:58 (BRT -03:00) inetnum: 187.44.0/18 aut-num: AS28202 abuse-c: ADMAS5 owner: Rede Brasileira de Comunicacao Ltda ownerid: 001.766.744/0001-84 responsible: Equipe de Engenharia de Redes country: BR owner-c: ADMAS5 tech-c: ADMAS5 inetrev: 187.44.0/18 nserver: ns1.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 nserver: ns2.mastercabo.com.br nsstat: 20130619 AA nslastaa: 20130619 created: 20090126 changed: 20130307 nic-hdl-br: ADMAS5 person: Administrativo MasterCabo e-mail: ad...@mastercabo.com.br created: 20080402 changed: 20121226 % Security and mail abuse issues should also be addressed to % cert.br, http://www.cert.br/, respectivelly to c...@cert.br % and mail-ab...@cert.br % % whois.registro.br accepts only direct match queries. Types % of queries are: domain (.br), ticket, provider, ID, CIDR % block, IP and ASN. Regards, Fail2Ban Saludos, El 19 de junio de 2013 14:34, <domin...@linuxsc.net> escribió: > A eso me refiero. .. > > Sent from my android device. > One step ahead. > > > > -----Original Message----- > From: Pablo Alberto Flores <pabfl...@uchile.cl> > To: centos-es@centos.org > Sent: mié, 19 jun 2013 13:55 > Subject: Re: [CentOS-es] Ataque por ssh2. > > una buena practica es configurar ssh (/etc/ssh/sshd_config) > > LoginGraceTime 30 > PermitRootLogin no > MaxAuthTries 3 > AllowUsers tu_usuario otro_usuario otro_mas > > > > El 19 de junio de 2013 14:36, <domin...@linuxsc.net> escribió: > > > Configurar el ssh que solo usuarios autorizados puedan hacer uso del > > mismo... tipo acl ... > > > > Sent from my android device. > > One step ahead. > > > > > > > > -----Original Message----- > > From: Walter Cervini <wcerv...@gmail.com> > > To: centos-es@centos.org, Miguel Gonzalez <miguel_3_gonza...@yahoo.es> > > Sent: mié, 19 jun 2013 13:28 > > Subject: Re: [CentOS-es] Ataque por ssh2. > > > > Comparto la misma opinion que todos los colegas que te han aportado sus > > conocimientos, > > yo agregaria algo adicional a todo eso > > > > 1. NO permitir el acceso a ssh como usuario root > > 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las > > funcionalidades necesarias > > 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso > > fallido, > > 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el > > numero del puerto menos probable que tengas escaneo de puertos. > > 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo > > esta comprometido. > > 6. Recibir notificaciones Via Email por cada intento fallido o por > cada > > bloqueo del puerto a una IP > > 7. Opcional puedes habilitar el servicios por horas con el uso de cron > > 8. La mas importante de todas las recomendaciones es que mantengas un > > monitoreo constante de tus equipos. Todo lo que hagas para proteger > tus > > equipos nunca es suficiente. > > > > > > *Walter Cervini* > > RHCSA- RHCVA > > Redhat Certificate Verification <http://red.ht/17kDRCa> > > wcerv...@gmail.com > > cervi...@yahoo.com > > waltercerv...@hotmail.com > > *412-2042186* > > *426-8060118* > > <https://twitter.com/v0lp>@v0lp > > > > > > > > El 19 de junio de 2013 11:30, Miguel Gonzalez > > <miguel_3_gonza...@yahoo.es>escribió: > > > > > Es importante saber que fail2ban por defecto solo banea temporalmente > > (por > > > regla general es suficiente). > > > > > > Si quieres hacerlo de manera permanente, o lo indicas en la > configuración > > > o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el > > > mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP > > > definitivamente. > > > > > > Esto de definitivo es mientras el servicio se mantenga activo y en > > > memoria, asi que en caso de reboot o reinicio del servicio se perderían > > > esos baneos. > > > > > > Saludos, > > > > > > Miguel > > > > > > > > > > > > > > > ________________________________ > > > De: Wilmer Arambula <tecnologiaterab...@gmail.com> > > > Para: centos-es@centos.org > > > Enviado: Miércoles 19 de junio de 2013 17:43 > > > Asunto: Re: [CentOS-es] Ataque por ssh2. > > > > > > > > > Listo instale file2bam con los servicios que estoy usando, > > > > > > Saludos y gracias. > > > > > > > > > El 19 de junio de 2013 10:57, Héctor Herrera <hherre...@gmail.com> > > > escribió: > > > > > > > También podrías añadir al iptables autenticación solamente a algunas > > MAC > > > y > > > > con política por defecto DROP > > > > > > > > iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT > > > > > > > > (Puede que me equivoque, estoy escribiendo de memoria la regla, pero > > > > debería ser algo así) > > > > > > > > > > > > El 19 de junio de 2013 11:21, Diego Chacón <di...@gridshield.net> > > > > escribió: > > > > > > > > > On 6/19/13 7:31 AM, Wilmer Arambula wrote: > > > > > > Ya he configurado mi ssh para que solo autentique desde mi ip, no > > > puede > > > > > > loguear root, sera necesario que lo deshabilite, ya que he sido > > > victima > > > > > de > > > > > > ataques para poder entrar a mi vps, igualmente por el webmin han > > > > > intentado > > > > > > pero la clave que tengo es compleja, que me recomiendadn, > > > > > > > > > > > > Saludos, > > > > > > > > > > > > > > > > > > > > > > Hace algunos años escribi este post, le puede servir. > > > > > > > > > > > > > > http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html > > > > > > > > > > Adicionalmente, agregaría un buen firewall que solo permita ssh > desde > > > > > algunas ip, y solo autenticar con llave no con contraseña. > > > > > > > > > > Saludos, > > > > > > > > > > -- > > > > > Diego Chacón Rojas > > > > > Teléfono: +506 2258.5757 > > > > > E-mail: di...@gridshield.net > > > > > Gridshield: I.T. Service Management > > > > > > > > > > _______________________________________________ > > > > > CentOS-es mailing list > > > > > CentOS-es@centos.org > > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > > > > > > -- > > > > Saludos > > > > > > > > *Héctor Herrera Anabalón* > > > > Egresado ICCI UNAP > > > > Servicio Arquitectura Galatea - Oficina Técnica > http://www.galatea.cl > > > > Miembro USoLIX Victoria > > > > Registered User #548600 (LinuxCounter.net) > > > > _______________________________________________ > > > > CentOS-es mailing list > > > > CentOS-es@centos.org > > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > > > > > > > > > > > > -- > > > *Wilmer Arambula. * > > > *Asoc. Cooperativa Tecnologia Terabyte 124, RL. > > > Venezuela.* > > > * > > > * > > > _______________________________________________ > > > CentOS-es mailing list > > > CentOS-es@centos.org > > > http://lists.centos.org/mailman/listinfo/centos-es > > > _______________________________________________ > > > CentOS-es mailing list > > > CentOS-es@centos.org > > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > -- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.* * Representante Para Venezuela.* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
