Apreciados MUCHAS GRACIAS POR DARME ESA MANO AYUDA. No conocía este grupo hasta AYER que me han dado estas palmadas...
Gracias! El 30/12/13, David González Romero <dgrved...@gmail.com> escribió: > Una breve cosilla yo en los SSH tengo esto: > > > Port 452 #Puede ser cualquiera 542, 342, 922, etc... Imaginación > ListenAddress 192.168.1.1 #Esto me asegura que solo escuche por la > interface de la red > > Protocol 2 > > PermitRootLogin no #MUY IMPORTANTE... ROOT NUNCA DEBE HACER SSH > #StrictModes yes > #MaxAuthTries 6 # Con esto se puede jugar > #MaxSessions 10 # igual que con este > AllowUsers fulano mengano esperansejo siclanejo > # supongamos que siclanejo sea el webmaster > # El tienen /sbin/nologin, sin embargo lo enjaule para entrar en su home > Subsystem sftp internal-sftp > Match User siclanejo > X11Forwarding no > ChrootDirectory %h > ForceCommand internal-sftp > AllowTcpForwarding no > > Este ultimo bloque lo obligará a caer en su home /var/www/siclanejo > > Es muy importante no dejar las configuraciones de fabrica. > > Y solo publicar servicios que realmente sean, despues con IPTABLES yo hice > iptables -A INPUT -i eth1 -s 192.168.1.0/24 -p tcp --dport 452 -j ACCEPT > iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 22 -j REJECT > iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 452 -j REJECT > > Ahora si necesitas abrir el 22 o el 452 para afuera asegúrate que cambiar > tu cable RSA cada cierto tiempo. > > Saludos, > David > > P.D: Bienvenido al club de admin hackeados... jejejeje > > > > > > El 30 de diciembre de 2013, 9:22, Maxi > <maximiliano.dua...@gmail.com>escribió: > >> El 29 de diciembre de 2013, 19:01, kamal majaiti >> <kamal.maja...@gmail.com>escribió: >> >> > Mira los logs del servidor web buscando los post. plantearte pasar un >> > escáner de vulnerabilidades como nessus openvas nexposer etc.. Y revisa >> las >> > escuchas de los puertos usa chrootkit y rkhunter así como grep en www >> > buscando base64 y cosas así. Primero localiza por donde entraron y >> > hasta >> > donde llegaron y que hicieron. >> > El 29/12/2013 19:13, "Miguel González" <miguel_3_gonza...@yahoo.es> >> > escribió: >> > >> > > On 12/29/2013 6:24 PM, Gabriel Pinares wrote: >> > > > Muchas gracias. >> > > > >> > > > NINGÚN usuario tiene habilitado acceso SHELL, (solo el root) >> > > > yo no he instalado PHP SHELL >> > > > la opción "JAIL SHELL" también la tengo inhabilitada >> > > Entonces es que aprovecharon alguna vulnerabilidad del PHP que tienes >> > > instalado para instalarlo. >> > > >> > > >> > > >> > > --- >> > > This email is free from viruses and malware because avast! Antivirus >> > > protection is active. >> > > http://www.avast.com >> > > >> > > >> > > This message and any attachments are intended for the use of the >> > addressee >> > > or addressees only. The unauthorised disclosure, use, dissemination >> > > or >> > > copying (either in whole or in part) of its content is not permitted. >> If >> > > you received this message in error, please notify the sender and >> > > delete >> > it >> > > from your system. Emails can be altered and their integrity cannot be >> > > guaranteed by the sender. >> > > >> > > Please consider the environment before printing this email. >> > > >> > > _______________________________________________ >> > > CentOS-es mailing list >> > > CentOS-es@centos.org >> > > http://lists.centos.org/mailman/listinfo/centos-es >> > > >> > _______________________________________________ >> > CentOS-es mailing list >> > CentOS-es@centos.org >> > http://lists.centos.org/mailman/listinfo/centos-es >> > >> >> configura ssh para que no ingrese como root y solo el usuario determinado >> pueda ingresar (despues haces su - y te pasas a root). y con denyhost le >> pones limite al intengo de averiguar claves, y bloquea la ip por los dias >> que quieras. >> A mi me sucedio que entraban y le cambiaban los passw a los usuarios de >> correo electronico. >> Y obliga a los usuarios a usar claves fuertes >> >> -- >> El que pregunta aprende, y el que contesta aprende a responder. >> >> No a la obsolecencia programada: >> >> http://www.rtve.es/noticias/20110104/productos-consumo-duran-cada-vez-menos/392498.shtml >> >> Linux User #495070 >> http://domonetic.com/blog >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
