Intento de intrusión por SSH

2008 Marzo 18
etiquetas: , , , , ,
by Overclock_Orange

Esto me sucedio hace un tiempo, exactamente en noviembre del 2007.
En una de mis PC (que utilizo unicamente con fines hogareños y de experimentar un poco), cuento con un servidor Apache 2, y OpenSSH que ademas de utilizar un password, hace uso de certificados (hombre prevenido vale por dos), ademas de contar con un muy buen firewall como es iptables bien configurado.
En las X, utilizo GkrellM para monitoriar mi sistema y cree un monitor a ssh (port 22) y a www (port 80), ya que ambos servicios siempre estan montados para poder acceder facilmente a mis archivos desde cualquier lugar.

La historia comienza al despertarme despues de mucho dormir, sentarme en la PC y ver en el monitor del puerto 22 (ssh) 1 conexión abierta, osea se habia establecido un socket.

Lo primero que hago inmediatamente es un:

$: who

No tuve respuesta solo mi usuario loggueado.

$: ps -aux | grep ssh

Esto me devolvio por la salída estandár el PID del proceso y el IP de donde provenia, entonces me logueo como root y hago:

#: /etc/init.d/ssh stop

Pare el servicio como primera medida

$: telnet [IP] 22

Conecte al puerto 22 del IP por telnet para saber si era un proxy o no.
No lo era, estaba efectivamente el puerto 22 abierto y corria un Ubuntu.

Me fijo el log /var/log/auth.log con:

more /var/log/auth.log

Y veo muchisimas entradas provenientes del mismo IP provando por diccionario nombres de usuario (en orden alfabetico) hasta que encontro el usuario root, de ahi me mostraba un intento de conexión ya que estaba intentando sacar la password.
Paso siguiente realize:

dig -mx [IP]

Y saque información sobre de donde venia esta conexión asi como los DNS.

Google el nombre de dominio de donde provenia la conexión y me encontre con que era una universidad en Porto Alegre, Brasil en la cual, en su website se especificaba el dictado de la carrera de Informática.

Me fui a contacto, y envie un Email adjuntando logs y notificando lo ocurrido.

SOLUCIONES Y PREVENCION:

  • Cambiar el puerto estándar de SSH (no usar el puerto 22)
  • No permitir el acceso de root por ssh.
  • Utilizar passowrd y reforzarlo con certificados.
  • Instale fail2ban (esta en los repositorios de Debian) y lo configure para que en 2 intentos fallidos de loguin, directamente le de un ban al atacante de 800 segundos, a 3 bans se dropea permanentemente el IP (esto por IPTables)

Saludos!
Overclock Orange
fmdlc.unix[en]gmail.com

from → Debian, Linux, Seguridad

4 comentarios dejar un →
  1. 2009 Mayo 12
    Sir Mauricius Enlace permanente

    Estimado, tu historia queda un poco inconclusa, ¿que pasó después? ¿respondieron el correo? Saludos desde Chile!

  2. 2009 Mayo 12
    Overclock_Orange Enlace permanente

    Sir Mauricius no no han contestado jamaz el correo, igual fue una hisotoria que paso hace ya bastante tiempo!

    Saludos!

  3. 2009 Mayo 12
    Sir Mauricius Enlace permanente

    Note la antigüedad del post, pero me llamo la atención porque a mi facultad “llego” unos correo de la Universidad de Columbia reclamando de constantes ataques desde nuestro servidor a uno de sus servidores.
    Entonces ante mí se ha abierto un mundo de interrogantes relacionadas con la situación que tu haz solucionado, como por ejemplo:
    -¿por qué a alguien le puede interesar entrar a un computador ajeno que, en nuestro caso, solo tenía un montón de archivos html?

    -luego, nuestro servidor esta bajo un dominio, por lo cual cualquier solicitud de cambios debe ser a través de un complejo protocolo, entonces ¿cómo es posible que estando detrás de quizás cuantos firewall un extraño pueda entrar a un servidor?

    Desde mi punto de vista la respuesta a la primera pregunta es simplemente “demostrar que se puede”. Y la respuesta a la segunda pregunta es “una mala contraseña”

    He leído algunos de tus post, y están de excelente calidad, excepto (sin ánimos de ofender) por algunas pequeñas faltas ortográficas ;)

    Saludos!

  4. 2009 Mayo 12
    Overclock_Orange Enlace permanente

    Sir Mauricius: Muchisimas gracias por lo que dices de mis post, la ortografia en mi caso es un desastre y lo considero ya causa perdida. ¿Por que desearian entrar en otro ordenador?, generalmente son botnets, redes creadas para masificarse atravéz de Internet, y crecer cada día mas, sus fines? mandar spam, realizar ataques de denegacion de servicio distribuido (imagina como se amplia el volumen de flood hacia una victima con cada computador que queda ‘zombie’ de la botnet?), utilizar una shell remota para lanzar ataques contra otros agentes y así realizar spoofing, curiosidad, robo de información, entre otras causas.
    Sobre el tema de saltear firewalls se puede, inclusive, se pueden saltear hasta IDS (HIDS, NIDS), cosa que para muchos puede resultar casi imposible, pero así es y te lo afirmo. Una de las tecnias mas utilizadas para saltear Firewalls es la de tunneling, con lo cual la victima que generalmente permite toda la salida a internet, es quien se conecta al atacante abriendo de esta forma un canal unidireccional en el cual el atacante puede lanzar su ataque como si estuviera en el sistema mismo.
    Saludos!

    Gracias

Escribe un comentario

Nota: Puede usar XHTML básico en sus comentarios. Su dirección de correo electrónico nunca será publicada.

Subscripción al comentario vía RSS