Posteado por: Overclock_Orange | Marzo 18, 2008

Intento de intrusión por SSH

Esto me sucedio hace un tiempo, exactamente en noviembre del 2007.
En una de mis PC (que utilizo unicamente con fines hogareños y de experimentar un poco), cuento con un servidor Apache 2, y OpenSSH que ademas de utilizar un password, hace uso de certificados (hombre prevenido vale por dos), ademas de contar con un muy buen firewall como es iptables bien configurado.
En las X, utilizo GkrellM para monitoriar mi sistema y cree un monitor a ssh (port 22) y a www (port 80), ya que ambos servicios siempre estan montados para poder acceder facilmente a mis archivos desde cualquier lugar.

La historia comienza al despertarme despues de mucho dormir, sentarme en la PC y ver en el monitor del puerto 22 (ssh) 1 conexión abierta, osea se habia establecido un socket.

Lo primero que hago inmediatamente es un:

$: who

No tuve respuesta solo mi usuario loggueado.

$: ps -aux | grep ssh

Esto me devolvio por la salída estandár el PID del proceso y el IP de donde provenia, entonces me logueo como root y hago:

#: /etc/init.d/ssh stop

Pare el servicio como primera medida

$: telnet [IP] 22

Conecte al puerto 22 del IP por telnet para saber si era un proxy o no.
No lo era, estaba efectivamente el puerto 22 abierto y corria un Ubuntu.

Me fijo el log /var/log/auth.log con:

more /var/log/auth.log

Y veo muchisimas entradas provenientes del mismo IP provando por diccionario nombres de usuario (en orden alfabetico) hasta que encontro el usuario root, de ahi me mostraba un intento de conexión ya que estaba intentando sacar la password.
Paso siguiente realize:

dig -mx [IP]

Y saque información sobre de donde venia esta conexión asi como los DNS.

Google el nombre de dominio de donde provenia la conexión y me encontre con que era una universidad en Porto Alegre, Brasil en la cual, en su website se especificaba el dictado de la carrera de Informática.

Me fui a contacto, y envie un Email adjuntando logs y notificando lo ocurrido.

SOLUCIONES Y PREVENCION:

  • Cambiar el puerto estándar de SSH (no usar el puerto 22)
  • No permitir el acceso de root por ssh.
  • Utilizar passowrd y reforzarlo con certificados.
  • Instale fail2ban (esta en los repositorios de Debian) y lo configure para que en 2 intentos fallidos de loguin, directamente le de un ban al atacante de 800 segundos, a 3 bans se dropea permanentemente el IP (esto por IPTables)

Saludos!
Overclock Orange
fmdlc.unix[en]gmail.com

Dejar una respuesta

Su respuesta:

Categorías