Threaded Mode | Linear Mode

~~FCHip~~ · 01-14-2010 06:34 AM

Saludos al grupo.
Tengo un servidor Debian Lenny instalado desde hace una semana, el tema está en que creo que he sufrido un ataque.
Lo veo raro puesto que el servidor lo instalé y actualicé a tope haciendo un upgrade con los paquetes de http://ftp.uk.debian.org por lo que veo raro que sea una vulnerabilidad del propio servicio ssh.

El archivo sshd_config tiene configurados los atributos -aiu. Los puedo cambiar con chattr y después puedo editar el fichero pero no me fio del sshd_config que tengo (lo veo demasiado simple, lo tiene casi todo comentado).

O es posible que esto sea parte de algo normal, no sé, una actualización o algo así y me esté comiendo la cabeza...

Os adjunto un sshd_config recién creado (bueno) y otro creo que hackeado (dudoso) para que valoréis si debo alarmarme y vuestro consejo.

Gracias a todos.
Un saludo. Smile

rbravo · 01-14-2010 08:28 AM

Es mosqueante ya que el puerto 22222, sino no has cambiado nada, alguien lo ha tenido que hacer, igual que esto "Deny user web0"
Saludos ;-)

~~FCHip~~ · 01-17-2010 04:17 AM

(01-14-2010 08:28 AM)rbravo Wrote: Es mosqueante ya que el puerto 22222, sino no has cambiado nada, alguien lo ha tenido que hacer, igual que esto "Deny user web0"
Saludos ;-)

Me estoy dando cuenta de que el servicio ssh es masivamente atacado por fuerza bruta a nivel internacional, me he encontrado en varios servidores miles de entradas y en un par de ellos han conseguido entrar, por muy actualizado que el servidor estuviera. Tenía el puerto cambiado y fail2ban instalado aunque el baneo no era permanente, pero el puerto no estaba asegurado.
Recomiendo encarecidamente a todo el mundo que proteja el acceso via ssh a sus servidores, realizando un cambio de puerto, previniendo la conexión directa de root y permitiendo la conexión vía ssh sólo a un grupo tan reducido como se pueda de usuarios e ips. Amén de instalar y configurar adecuadamente fail2ban y banear permanentemente las conexiones no autorizadas.
Asegurad el puerto ya sea a través de iptables o con la directiva AllowUsers del fichero sshd_config.

Si no habéis hecho esto mirad el fichero /var/log/auth.log, ojalá que no, pero yo me llevé un susto... Sad

¿Alguien se le ocurre algún método lo más eficiente posible para proteger el acceso a nuestros servidores?

Un saludo.

**kilburn** · 01-17-2010 04:33 AM

Sencillo: desactiva el acceso mediante password. Es decir, create una clave ssh y permite solo acceso mediante claves, de modo que por bruteforce es imposible que entren.

Aun así, ispcp no permite a los usuarios conectar por ssh, de modo que si necesitas acceso con password, la cosa debería ser tan sencilla como crearte tu propio usuario (con nombre lo menos estándar posible, y un password seguro) y desactivar el acceso como root.

Yo ni siquiera utilizo fail2ban en varios de mis servidores, y nunca he sufrido una intrusión por ssh...

~~FCHip~~ · 01-19-2010 02:15 AM

(01-17-2010 04:33 AM)kilburn Wrote: Sencillo: desactiva el acceso mediante password. Es decir, create una clave ssh y permite solo acceso mediante claves, de modo que por bruteforce es imposible que entren.

Aun así, ispcp no permite a los usuarios conectar por ssh, de modo que si necesitas acceso con password, la cosa debería ser tan sencilla como crearte tu propio usuario (con nombre lo menos estándar posible, y un password seguro) y desactivar el acceso como root.

Yo ni siquiera utilizo fail2ban en varios de mis servidores, y nunca he sufrido una intrusión por ssh...

Gracias por tu respuesta Kilburn pero no entiendo la primera parte de lo que dices, ¿cómo creo una clave ssh y permito el acceso sólo mediante claves?

Gracias.

**kilburn** · 01-19-2010 04:42 AM

(01-19-2010 02:15 AM)FCHip Wrote: ¿cómo creo una clave ssh ...

Cualquiera de los primeros enlaces de googlear "ssh llaves" te sirven. El segundo comenta algo de putty (por si estás en win), y sino siempre puedes añadir "putty" a la consulta Wink

FCHip Wrote:y permito el acceso sólo mediante claves?

Una vez tengas tu llave creada y hayas comprobado que funciona, en el fichero de configuración (/etc/ssh/sshd_config) buscas esta directiva y la cambias a "no", tal como se ve aquí:

Code:

# Change to no to disable tunnelled clear text passwords

PasswordAuthentication no

~~FCHip~~ · 01-20-2010 02:22 AM

(01-19-2010 04:42 AM)kilburn Wrote:
(01-19-2010 02:15 AM)FCHip Wrote: ¿cómo creo una clave ssh ...

Cualquiera de los primeros enlaces de googlear "ssh llaves" te sirven. El segundo comenta algo de putty (por si estás en win), y sino siempre puedes añadir "putty" a la consulta

FCHip Wrote:y permito el acceso sólo mediante claves?

Una vez tengas tu llave creada y hayas comprobado que funciona, en el fichero de configuración (/etc/ssh/sshd_config) buscas esta directiva y la cambias a "no", tal como se ve aquí:

Code:

# Change to no to disable tunnelled clear text passwords PasswordAuthentication no

Jaja, muchas gracias. Entendí clave como password no como llave y me hice un pequeño lío, como utilizar cuentas sin clave o algo así. Entendido :-)
Haré esto y os cuento.

Muchas gracias por la ayuda.

shiizpa · 01-20-2010 11:05 PM

Este howto esta en la documentación te mando el directo para que veas como hacer mas seguro tu ssh

http://www.isp-control.net/documentation..._ssh_safer

~~FCHip~~ · 01-20-2010 11:17 PM

(01-20-2010 11:05 PM)shiizpa Wrote: Este howto esta en la documentación te mando el directo para que veas como hacer mas seguro tu ssh

http://www.isp-control.net/documentation..._ssh_safer

Muchas gracias shiizpa :-)

Threaded Mode \| Linear Mode Posible vulnerabilidad SSH
Author	Message