Protegernos frente a los ataques por SSH


Realmente impresiona la cantidad de veces que se intenta acceder, de manera fraudulenta, a los servidor de las empresas. Todas ellas, por supuesto, sin éxito. Pero no me quiero imaginar cómo tiene que ser en servidores con mucho más tráfico que este.

Ahora estamos usando iptables como pared de fuego y webmin como aplicación web para gestionar algunos de los aspectos del servidor, y la verdad es que resulta bastante cómodo. No es tan completa y complicada, pero es software libre y la verdad es que no da ningún problema.


Antes que nada deben acceder a los fichero /var/log/messages del sistema para echar un vistazo, y verificar que pasa por la máquina, para esto deberamn ejecutar el siguiente comando:

# cat /var/log/messages | grep Invalid | grep ssh | sort

En el reporte que se despliega se puede observar los intentos de accesos no permitidos, como estos:

Nov 23 10:00:29 ns sshd[32625]: Invalid user ftptest from 220.73.161.189
Nov 23 10:00:32 ns sshd[32635]: Invalid user ftptest from 220.73.161.189
Nov 23 10:00:35 ns sshd[32640]: Invalid user ftptest from 220.73.161.189
Nov 23 10:08:33 ns sshd[384]: Invalid user test from 220.73.161.189
Nov 23 10:08:36 ns sshd[392]: Invalid user test from 220.73.161.189
Nov 23 10:08:39 ns sshd[397]: Invalid user test from 220.73.161.189
Nov 23 10:17:12 ns sshd[855]: Invalid user admin from 220.73.161.189
Nov 23 10:17:15 ns sshd[861]: Invalid user admin from 220.73.161.189
Nov 23 10:17:18 ns sshd[866]: Invalid user admin001 from 220.73.161.189
Nov 23 10:26:25 ns sshd[1246]: Invalid user testftp from 220.73.161.189
Nov 23 10:26:29 ns sshd[1251]: Invalid user testftp from 220.73.161.189
Nov 23 10:26:32 ns sshd[1256]: Invalid user testftp from 220.73.161.189
Nov 23 10:35:46 ns sshd[1655]: Invalid user ftpuser from 220.73.161.189
Nov 23 10:35:49 ns sshd[1660]: Invalid user ftpuser from 220.73.161.189
Nov 23 10:35:52 ns sshd[1670]: Invalid user ftpuser from 220.73.161.189
Nov 23 10:43:50 ns sshd[1906]: Invalid user backup from 220.73.161.189
Nov 23 10:43:53 ns sshd[1915]: Invalid user backup from 220.73.161.189
Nov 23 10:43:56 ns sshd[1920]: Invalid user backup from 220.73.161.189
Nov 23 10:52:17 ns sshd[2259]: Invalid user oracle from 220.73.161.189
Nov 23 10:52:20 ns sshd[2264]: Invalid user oracle from 220.73.161.189
Nov 23 10:52:23 ns sshd[2269]: Invalid user oracle from 220.73.161.189
Nov 23 10:59:49 ns sshd[2486]: Invalid user userftp from 220.73.161.189
Nov 23 10:59:52 ns sshd[2492]: Invalid user userftp from 220.73.161.189
Nov 23 10:59:55 ns sshd[2501]: Invalid user userftp from 220.73.161.189
Nov 23 11:08:40 ns sshd[2890]: Invalid user support from 220.73.161.189
Nov 23 11:08:43 ns sshd[2906]: Invalid user support from 220.73.161.189
Nov 23 11:08:46 ns sshd[2911]: Invalid user support from 220.73.161.189
Nov 23 11:17:28 ns sshd[3338]: Invalid user user from 220.73.161.189
Nov 23 11:17:30 ns sshd[3343]: Invalid user user from 220.73.161.189
Nov 23 11:17:33 ns sshd[3348]: Invalid user user from 220.73.161.189
Nov 23 11:26:30 ns sshd[3622]: Invalid user web from 220.73.161.189
Nov 23 11:26:33 ns sshd[3627]: Invalid user web from 220.73.161.189
Nov 23 11:26:36 ns sshd[3636]: Invalid user web from 220.73.161.189
Nov 23 11:35:13 ns sshd[4178]: Invalid user testuser from 220.73.161.189
Nov 23 11:35:15 ns sshd[4183]: Invalid user testuser from 220.73.161.189
Nov 23 11:35:18 ns sshd[4188]: Invalid user testuser from 220.73.161.189
Nov 23 11:44:01 ns sshd[4679]: Invalid user webadmin from 220.73.161.189
Nov 23 11:44:04 ns sshd[4684]: Invalid user webadmin from 220.73.161.189
Nov 23 11:44:06 ns sshd[4690]: Invalid user webadmin from 220.73.161.189
Nov 23 11:51:49 ns sshd[5204]: Invalid user www-data from 220.73.161.189
Nov 23 11:51:52 ns sshd[5213]: Invalid user www-data from 220.73.161.189
Nov 23 11:51:55 ns sshd[5225]: Invalid user www-data from 220.73.161.189
Nov 23 11:59:47 ns sshd[5748]: Invalid user info from 220.73.161.189
Nov 23 11:59:52 ns sshd[5761]: Invalid user info from 220.73.161.189
Nov 23 11:59:55 ns sshd[5768]: Invalid user info from 220.73.161.189
Nov 23 12:14:45 ns sshd[6685]: Invalid user nagios from 220.73.161.189
Nov 23 12:14:48 ns sshd[6697]: Invalid user nagios from 220.73.161.189
Nov 23 12:14:51 ns sshd[6711]: Invalid user nagios from 220.73.161.189
Nov 23 12:23:28 ns sshd[7222]: Invalid user www from 220.73.161.189
Nov 23 12:23:31 ns sshd[7227]: Invalid user www from 220.73.161.189
Nov 23 12:23:34 ns sshd[7232]: Invalid user www from 220.73.161.189
Nov 23 12:32:28 ns sshd[7839]: Invalid user svn from 220.73.161.189
Nov 23 12:32:31 ns sshd[7845]: Invalid user svn from 220.73.161.189
Nov 23 12:32:34 ns sshd[7850]: Invalid user svn001 from 220.73.161.189
Nov 23 12:41:50 ns sshd[8303]: Invalid user ts from 220.73.161.189
Nov 23 12:41:52 ns sshd[8308]: Invalid user ts from 220.73.161.189
Nov 23 12:41:55 ns sshd[8313]: Invalid user ts from 220.73.161.189
Nov 23 12:51:35 ns sshd[9015]: Invalid user ts3 from 220.73.161.189
Nov 23 12:51:40 ns sshd[9040]: Invalid user ts3 from 220.73.161.189
Nov 23 12:51:43 ns sshd[9046]: Invalid user ts3 from 220.73.161.189
Nov 23 13:00:40 ns sshd[9586]: Invalid user teamspeak from 220.73.161.189
Nov 23 13:00:42 ns sshd[9591]: Invalid user teamspeak from 220.73.161.189
Nov 23 13:00:45 ns sshd[9597]: Invalid user teamspeak from 220.73.161.189
Nov 23 13:10:25 ns sshd[10043]: Invalid user teamspeak3 from 220.73.161.189
Nov 23 13:10:28 ns sshd[10048]: Invalid user teamspeak3 from 220.73.161.189
Nov 23 13:10:31 ns sshd[10058]: Invalid user teamspeak3 from 220.73.161.189
Nov 23 13:19:52 ns sshd[10529]: Invalid user webuser from 220.73.161.189
Nov 23 13:19:55 ns sshd[10535]: Invalid user webuser from 220.73.161.189
Nov 23 13:19:57 ns sshd[10540]: Invalid user webuser from 220.73.161.189
Nov 23 13:29:23 ns sshd[10956]: Invalid user www from 220.73.161.189
Nov 23 13:29:25 ns sshd[10962]: Invalid user www from 220.73.161.189
Nov 23 13:29:28 ns sshd[10967]: Invalid user www from 220.73.161.189
Nov 23 20:08:00 ns sshd[23598]: Invalid user bob from 120.236.0.202
Nov 23 20:08:03 ns sshd[23603]: Invalid user john from 120.236.0.202
Nov 23 20:08:06 ns sshd[23608]: Invalid user jack from 120.236.0.202
Nov 23 22:55:03 ns sshd[28885]: Invalid user app from 60.12.174.99
Nov 24 21:27:29 ns sshd[6335]: Invalid user apple from 62.4.5.31
Nov 25 04:15:28 ns sshd[17452]: Invalid user a from 221.12.12.3
Nov 25 04:15:34 ns sshd[17462]: Invalid user minecraft from 221.12.12.3
Nov 25 19:33:14 ns sshd[31836]: Invalid user cron from 61.34.216.219
Nov 25 19:33:20 ns sshd[31847]: Invalid user vyatta from 61.34.216.219
Nov 25 20:30:00 ns sshd[1938]: Invalid user a from 113.240.245.243
Nov 25 20:30:03 ns sshd[1943]: Invalid user b from 113.240.245.243
Nov 25 20:31:17 ns sshd[2018]: Invalid user a from 113.240.245.243
Nov 25 20:31:20 ns sshd[2023]: Invalid user b from 113.240.245.243

Medidas de seguridad

1ro. Bloquear la IP desde la que proviene el ataque
# iptables -A INPUT -s 220.73.161.189  -j DROP
# iptables -A INPUT -s 113.240.245.243 -j DROP

2do. No permitir conexión directa a ssh como root  remotamente, primero debe logearce como usuario normal y de allí debe cambiarse a root, para ello debe cambiar los siguientes parámetros en  /etc/ssh/sshd_config

LoginGraceTime 30
PermitRootLogin no
#StrictModes yes
MaxAuthTries 2
MaxSessions 3

El ingreso al servidor lo podemos hacer por consola o con el programa putty
ssh  ip_publica_del_servidor -l cliente
Password:
cliente: /home/cliente:~>

Una ves que hemos ingresado como usuario normal (cliente) nos cambiarnos a root
su
Password: xxxxxxxxxxx
root:/home/cliente # 



Estas otras dos reglas son automatizadas, si las esta necesitando las puede solicitar a través del formulario de contacto que esta en este sitio web.

3ro. Crear un cron tab diario para que el servidor nos informe por correo electrónico todo lo que esta pasando, para esto se debe tener configurado un servidor de correos.

Ejemplo; El servidor informa de los ataque recibidos con las IP que intentan acceder  al servidor.

-----Mensaje original-----
De: root [mailto:root@server.net]
Enviado el: miércoles, 4 de diciembre de 2013 2:00
Para: cmitis@server.net
Asunto: Ataques SSH

177.36.88.3 - cron
177.36.88.3 - ftpuser
177.36.88.3 - lab
177.36.88.3 - reception
203.169.242.74 - admin
203.169.242.74 - fluffy
64.235.53.4 - admin
68.168.104.45 - admin


4to. Bloquear la IP de origen si tiene mas de cuatro accesos inválidos de forma automática

177.36.88.3 - cron
177.36.88.3 - ftpuser
177.36.88.3 - lab
177.36.88.3 - reception
203.169.242.74 - admin
203.169.242.74 - fluffy
64.235.53.4 - admin
68.168.104.45 - admin


Con la 4ta. regla los ataques ataques se reducen considerablemente.
Ejemplo de correo enviado por el servidor

-----Mensaje original-----
De: root [mailto:root@server.net]
Enviado el: lunes, 6 de enero de 2014 2:00
Para: cmitis@server.net
Asunto: Ataques SSH

103.25.46.23 - a
190.128.201.194 - joan
190.128.201.194 - raimundo

89.248.172.58 - auto


PORQUE ES IMPORTANTE TENER UN SITIO WEB?

Es la tarjeta de presentación, da a su empresa una imagen de calidad y constante progreso. La mayoría de las personas buscan en Internet cuando están pensando en comprar o en contratar cualquier tipo de producto o servicio. Se puede colocar mucha información sobre los productos y servicios (En otros medios publicitarios tiene un costo elevado). Un catálogo virtual disponible 24 horas al día, 365 días del año visible en nuestra localidad y el mundo entero. El sitio web puede ser su mejor vendedor. Permita el contacto y comunicación con clientes actuales y potenciales. El costo de mantenimiento (en publicidad continua) de un sitio web en Internet es muy bajo comparado con otros medios publicitarios..... Leer más

Diseño de sitios web - inspiraweb.tk

Infolinks In Text Ads

Visitas