[Jderobot-admin] Agarraos, que vienen curvas
Oscar Garcia
oscar.robotica en linaresdigital.com
Mie Nov 28 21:09:31 CET 2012
El 28/11/12 12:20, Borja Mon Serrano escribió:
> Últimamente, con los problemas que estamos teniendo en el servidor
> (que está casi más tiempo caído que de pie, básicamente) me ha dado
> por ir analizando los syslogs cada día... Y he encontrado cosas que no
> me han gustado mucho.
Yo uso logwatch para que todos los días me lleguen resúmenes de la
actividad de los servidores más grandes.
Mira sólo de SPAM lo que llega, más SPAM que correos reales:
--------------------- Amavisd-new Begin ------------------------
235 messages checked and passed.
704 spam messages were found.
15 messages with bad headers were found.
--------------------- httpd Begin ------------------------
A total of 257 sites probed the server
108.173.47.174
109.243.232.157
109.93.245.28
113.210.124.63
...
41.234.166.175
41.234.180.104
41.234.181.176
41.234.183.83
...
Eso son casi siempre script kiddies que tratan de hacer barridos de IPs
buscando servidores web vulnerables. Todos los días hay un mínimo de
20-30 IPs que tratan de acceder al servidor.
También teníamos miles (sí, miles) de autenticaciones fallidas a través
de SSH, proftpd, imap, pop3, etc. Con fail2ban ahora como mucho suelen
hacer los 5 intentos fallidos antes de que sean baneados y luego
desisten, normalmente tras los 10 minutos del ban han cesado en su
empeño y han pasado al siguiente servidor al que atacar:
--------------------- SSHD Begin ------------------------
Failed logins from:
112.116.125.138
(138.125.116.112.broad.km.yn.dynamic.163data.com.cn): 2 times
113.17.144.156: 1 time
116.255.181.58: 9 times
Illegal users from:
116.255.181.58: 2 times
Users logging in through sshd:
root:
191.179.34.16: 5 times
admin:
191.179.34.16: 2 times
188.76.2.195 (195.2.76.188.dynamic.jazztel.es): 1 time
Received disconnect:
11: disconnected by user : 1 Time(s)
Fail2ban tiene todo preparado por defecto para banear conexiones ssh,
proftpd, etc, pero para otros servicios quizá haya que crear el filtro
adecuado a nuestras necesidades.
>
> Corregidme si me equivoco, pero esto tiene pinta de que están
> utilizando / intentando utilizar jderobot como servidor de correo.
> Mirando de dónde viene esa IP he visto que está ubicada en Hong Kong.
Ha intentado hacer unas pruebas de "open relay". Parece que todas fueron
infructuosas.
> Unas cuantas horas más tarde hubo un intento de conexión desde otro
> sitio desconocido también:
> Nov 27 22:22:44 jderobot postfix/smtpd[31676]: connect from
> dbserver.meteksan.net.tr <http://dbserver.meteksan.net.tr>[213.139.192.7]
> Nov 27 22:22:46 jderobot postfix/smtpd[31676]: disconnect from
> dbserver.meteksan.net.tr <http://dbserver.meteksan.net.tr>[213.139.192.7]
> En este caso esa IP viene de Turquía.
Esto más bien parece un scan de puertos abiertos, quizá esperando sólo
al saludo del servidor para averiguar si éste se encuentra dentro de un
listado de programas o versiones vulnerables a ataques.
> Evidentemente esto no creo que sea el mayor problema que tengamos
> ahora mismo, pero está claro que habría que solucionarlo. ¿Ideas al
> respecto? ¿Valdría la aplicación que comentaste, Óscar, que se llamaba
> fail2ban o no es para este propósito?
Sí, sirve para paliar los problemas de seguridad que puedan producirse,
sobre todo en ataques de fuerza bruta.
Por ejemplo, no es normal que una misma IP cargue la página de
identificación de la wiki, por ejemplo, 20 veces en 5 minutos. Se puede
crear un filtro que analice el log de apache adecuado para encontrar
peticiones POST a la URL a la que se envía el formulario para evitar
ataques de fuerza bruta para entrar a la wiki, por ejemplo (también al
phpmyadmin, y todo aquello que pueda ser sensible a ataques de este tipo).
Instala el paquete (por defecto no tiene nada activado, hay que irlo
activando en el archivo jail.conf) y mira qué puede ofrecerte.
Un saludo.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://gsyc.escet.urjc.es/pipermail/jderobot-admin/attachments/20121128/43e004cd/attachment.htm
More information about the Jderobot-admin
mailing list