Current time: 11-16-2024, 05:48 PM Hello There, Guest! (LoginRegister)


Post Reply 
Posible vulnerabilidad SSH
Author Message
FCHip Offline
Banned

Posts: 47
Joined: Aug 2009
Post: #1
Posible vulnerabilidad SSH
Saludos al grupo.
Tengo un servidor Debian Lenny instalado desde hace una semana, el tema está en que creo que he sufrido un ataque.
Lo veo raro puesto que el servidor lo instalé y actualicé a tope haciendo un upgrade con los paquetes de http://ftp.uk.debian.org por lo que veo raro que sea una vulnerabilidad del propio servicio ssh.

El archivo sshd_config tiene configurados los atributos -aiu. Los puedo cambiar con chattr y después puedo editar el fichero pero no me fio del sshd_config que tengo (lo veo demasiado simple, lo tiene casi todo comentado).

O es posible que esto sea parte de algo normal, no sé, una actualización o algo así y me esté comiendo la cabeza...

Os adjunto un sshd_config recién creado (bueno) y otro creo que hackeado (dudoso) para que valoréis si debo alarmarme y vuestro consejo.

Gracias a todos.
Un saludo.Smile


Attached File(s)
.txt  sshd_config.bueno.txt (Size: 1.83 KB / Downloads: 13)
.txt  sshd_config.dudoso.txt (Size: 2.41 KB / Downloads: 14)
(This post was last modified: 01-14-2010 06:36 AM by FCHip.)
01-14-2010 06:34 AM
Find all posts by this user Quote this message in a reply
rbravo Offline
Junior Member
*

Posts: 23
Joined: May 2009
Reputation: 0
Post: #2
RE: Posible vulnerabilidad SSH
Es mosqueante ya que el puerto 22222, sino no has cambiado nada, alguien lo ha tenido que hacer, igual que esto "Deny user web0"
Saludos ;-)
01-14-2010 08:28 AM
Visit this user's website Find all posts by this user Quote this message in a reply
FCHip Offline
Banned

Posts: 47
Joined: Aug 2009
Post: #3
RE: Posible vulnerabilidad SSH
(01-14-2010 08:28 AM)rbravo Wrote:  Es mosqueante ya que el puerto 22222, sino no has cambiado nada, alguien lo ha tenido que hacer, igual que esto "Deny user web0"
Saludos ;-)

Me estoy dando cuenta de que el servicio ssh es masivamente atacado por fuerza bruta a nivel internacional, me he encontrado en varios servidores miles de entradas y en un par de ellos han conseguido entrar, por muy actualizado que el servidor estuviera. Tenía el puerto cambiado y fail2ban instalado aunque el baneo no era permanente, pero el puerto no estaba asegurado.
Recomiendo encarecidamente a todo el mundo que proteja el acceso via ssh a sus servidores, realizando un cambio de puerto, previniendo la conexión directa de root y permitiendo la conexión vía ssh sólo a un grupo tan reducido como se pueda de usuarios e ips. Amén de instalar y configurar adecuadamente fail2ban y banear permanentemente las conexiones no autorizadas.
Asegurad el puerto ya sea a través de iptables o con la directiva AllowUsers del fichero sshd_config.

Si no habéis hecho esto mirad el fichero /var/log/auth.log, ojalá que no, pero yo me llevé un susto... Sad

¿Alguien se le ocurre algún método lo más eficiente posible para proteger el acceso a nuestros servidores?

Un saludo.
01-17-2010 04:17 AM
Find all posts by this user Quote this message in a reply
kilburn Offline
Development Team
*****
Dev Team

Posts: 2,182
Joined: Feb 2007
Reputation: 34
Post: #4
RE: Posible vulnerabilidad SSH
Sencillo: desactiva el acceso mediante password. Es decir, create una clave ssh y permite solo acceso mediante claves, de modo que por bruteforce es imposible que entren.

Aun así, ispcp no permite a los usuarios conectar por ssh, de modo que si necesitas acceso con password, la cosa debería ser tan sencilla como crearte tu propio usuario (con nombre lo menos estándar posible, y un password seguro) y desactivar el acceso como root.

Yo ni siquiera utilizo fail2ban en varios de mis servidores, y nunca he sufrido una intrusión por ssh...
01-17-2010 04:33 AM
Visit this user's website Find all posts by this user Quote this message in a reply
FCHip Offline
Banned

Posts: 47
Joined: Aug 2009
Post: #5
RE: Posible vulnerabilidad SSH
(01-17-2010 04:33 AM)kilburn Wrote:  Sencillo: desactiva el acceso mediante password. Es decir, create una clave ssh y permite solo acceso mediante claves, de modo que por bruteforce es imposible que entren.

Aun así, ispcp no permite a los usuarios conectar por ssh, de modo que si necesitas acceso con password, la cosa debería ser tan sencilla como crearte tu propio usuario (con nombre lo menos estándar posible, y un password seguro) y desactivar el acceso como root.

Yo ni siquiera utilizo fail2ban en varios de mis servidores, y nunca he sufrido una intrusión por ssh...

Gracias por tu respuesta Kilburn pero no entiendo la primera parte de lo que dices, ¿cómo creo una clave ssh y permito el acceso sólo mediante claves?

Gracias.
01-19-2010 02:15 AM
Find all posts by this user Quote this message in a reply
kilburn Offline
Development Team
*****
Dev Team

Posts: 2,182
Joined: Feb 2007
Reputation: 34
Post: #6
RE: Posible vulnerabilidad SSH
(01-19-2010 02:15 AM)FCHip Wrote:  ¿cómo creo una clave ssh ...

Cualquiera de los primeros enlaces de googlear "ssh llaves" te sirven. El segundo comenta algo de putty (por si estás en win), y sino siempre puedes añadir "putty" a la consulta Wink

FCHip Wrote:y permito el acceso sólo mediante claves?

Una vez tengas tu llave creada y hayas comprobado que funciona, en el fichero de configuración (/etc/ssh/sshd_config) buscas esta directiva y la cambias a "no", tal como se ve aquí:
Code:
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no
01-19-2010 04:42 AM
Visit this user's website Find all posts by this user Quote this message in a reply
FCHip Offline
Banned

Posts: 47
Joined: Aug 2009
Post: #7
RE: Posible vulnerabilidad SSH
(01-19-2010 04:42 AM)kilburn Wrote:  
(01-19-2010 02:15 AM)FCHip Wrote:  ¿cómo creo una clave ssh ...

Cualquiera de los primeros enlaces de googlear "ssh llaves" te sirven. El segundo comenta algo de putty (por si estás en win), y sino siempre puedes añadir "putty" a la consulta Wink

FCHip Wrote:y permito el acceso sólo mediante claves?

Una vez tengas tu llave creada y hayas comprobado que funciona, en el fichero de configuración (/etc/ssh/sshd_config) buscas esta directiva y la cambias a "no", tal como se ve aquí:
Code:
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Jaja, muchas gracias. Entendí clave como password no como llave y me hice un pequeño lío, como utilizar cuentas sin clave o algo así. Entendido :-)
Haré esto y os cuento.

Muchas gracias por la ayuda.
01-20-2010 02:22 AM
Find all posts by this user Quote this message in a reply
shiizpa Offline
Junior Member
*

Posts: 69
Joined: Mar 2009
Reputation: 2
Post: #8
RE: Posible vulnerabilidad SSH
Este howto esta en la documentación te mando el directo para que veas como hacer mas seguro tu ssh

http://www.isp-control.net/documentation..._ssh_safer
(This post was last modified: 01-21-2010 02:35 AM by shiizpa.)
01-20-2010 11:05 PM
Find all posts by this user Quote this message in a reply
FCHip Offline
Banned

Posts: 47
Joined: Aug 2009
Post: #9
RE: Posible vulnerabilidad SSH
(01-20-2010 11:05 PM)shiizpa Wrote:  Este howto esta en la documentación te mando el directo para que veas como hacer mas seguro tu ssh


http://www.isp-control.net/documentation..._ssh_safer

Muchas gracias shiizpa :-)
01-20-2010 11:17 PM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)