[Jderobot-admin] Agarraos, que vienen curvas

Oscar Garcia oscar.robotica en linaresdigital.com
Mie Nov 28 21:09:31 CET 2012 

El 28/11/12 12:20, Borja Mon Serrano escribió:
> Últimamente, con los problemas que estamos teniendo en el servidor 
> (que está casi más tiempo caído que de pie, básicamente) me ha dado 
> por ir analizando los syslogs cada día... Y he encontrado cosas que no 
> me han gustado mucho.


Yo uso logwatch para que todos los días me lleguen resúmenes de la 
actividad de los servidores más grandes.

Mira sólo de SPAM lo que llega, más SPAM que correos reales:

--------------------- Amavisd-new Begin ------------------------
  235 messages checked and passed.
  704 spam messages were found.
  15 messages with bad headers were found.


--------------------- httpd Begin ------------------------
   A total of 257 sites probed the server
     108.173.47.174
     109.243.232.157
     109.93.245.28
     113.210.124.63
...
     41.234.166.175
     41.234.180.104
     41.234.181.176
     41.234.183.83
...

Eso son casi siempre script kiddies que tratan de hacer barridos de IPs 
buscando servidores web vulnerables. Todos los días hay un mínimo de 
20-30 IPs que tratan de acceder al servidor.

También teníamos miles (sí, miles) de autenticaciones fallidas a través 
de SSH, proftpd, imap, pop3, etc. Con fail2ban ahora como mucho suelen 
hacer los 5 intentos fallidos antes de que sean baneados y luego 
desisten, normalmente tras los 10 minutos del ban han cesado en su 
empeño y han pasado al siguiente servidor al que atacar:


  --------------------- SSHD Begin ------------------------
  Failed logins from:
     112.116.125.138 
(138.125.116.112.broad.km.yn.dynamic.163data.com.cn): 2 times
     113.17.144.156: 1 time
     116.255.181.58: 9 times
  Illegal users from:
     116.255.181.58: 2 times
  Users logging in through sshd:
     root:
        191.179.34.16: 5 times
     admin:
        191.179.34.16: 2 times
        188.76.2.195 (195.2.76.188.dynamic.jazztel.es): 1 time
   Received disconnect:
     11: disconnected by user : 1 Time(s)


Fail2ban tiene todo preparado por defecto para banear conexiones ssh, 
proftpd, etc, pero para otros servicios quizá haya que crear el filtro 
adecuado a nuestras necesidades.


>
> Corregidme si me equivoco, pero esto tiene pinta de que están 
> utilizando / intentando utilizar jderobot como servidor de correo. 
> Mirando de dónde viene esa IP he visto que está ubicada en Hong Kong.


Ha intentado hacer unas pruebas de "open relay". Parece que todas fueron 
infructuosas.


> Unas cuantas horas más tarde hubo un intento de conexión desde otro 
> sitio desconocido también:
> Nov 27 22:22:44 jderobot postfix/smtpd[31676]: connect from 
> dbserver.meteksan.net.tr <http://dbserver.meteksan.net.tr>[213.139.192.7]
> Nov 27 22:22:46 jderobot postfix/smtpd[31676]: disconnect from 
> dbserver.meteksan.net.tr <http://dbserver.meteksan.net.tr>[213.139.192.7]
> En este caso esa IP viene de Turquía.


Esto más bien parece un scan de puertos abiertos, quizá esperando sólo 
al saludo del servidor para averiguar si éste se encuentra dentro de un 
listado de programas o versiones vulnerables a ataques.


> Evidentemente esto no creo que sea el mayor problema que tengamos 
> ahora mismo, pero está claro que habría que solucionarlo. ¿Ideas al 
> respecto? ¿Valdría la aplicación que comentaste, Óscar, que se llamaba 
> fail2ban o no es para este propósito?


Sí, sirve para paliar los problemas de seguridad que puedan producirse, 
sobre todo en ataques de fuerza bruta.

Por ejemplo, no es normal que una misma IP cargue la página de 
identificación de la wiki, por ejemplo, 20 veces en 5 minutos. Se puede 
crear un filtro que analice el log de apache adecuado para encontrar 
peticiones POST a la URL a la que se envía el formulario para evitar 
ataques de fuerza bruta para entrar a la wiki, por ejemplo (también al 
phpmyadmin, y todo aquello que pueda ser sensible a ataques de este tipo).

Instala el paquete (por defecto no tiene nada activado, hay que irlo 
activando en el archivo jail.conf) y mira qué puede ofrecerte.

Un saludo.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://gsyc.escet.urjc.es/pipermail/jderobot-admin/attachments/20121128/43e004cd/attachment.htm

More information about the Jderobot-admin mailing list