Posibles ataques en servidor sobre Ubuntu Server

Imagen de jgalonso
0 puntos

Os explico ace poco que empecé con linux, monté un servidor bajo ubuntu server y todo va de vicio desde hace un año pero leyendo por ahí decidí revisar los archivos que se encuentran en /var/log cuál es mi sorpresa que me aparece lo siguiente al teclear

more auth.log en las últimas lineas aparece

Nov 19 05:04:17 Servidor sshd[14322]: (pam_unix) check pass; user unknown

Nov 19 05:04:17 Servidor sshd[14322]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.139.168.253

Nov 19 05:04:18 Servidor sshd[14322]: Failed password for invalid user admin from 211.139.168.253 port 33068 ssh2

Nov 19 05:04:21 Servidor sshd[14324]: Invalid user admin from 211.139.168.253

Nov 19 05:04:21 Servidor sshd[14324]: (pam_unix) check pass; user unknown

Nov 19 05:04:21 Servidor sshd[14324]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.139.168.253

Nov 19 05:04:23 Servidor sshd[14324]: Failed password for invalid user admin from 211.139.168.253 port 33152 ssh2

Nov 19 05:04:27 Servidor sshd[14326]: Invalid user user from 211.139.168.253

Nov 19 05:04:27 Servidor sshd[14326]: (pam_unix) check pass; user unknown

Nov 19 05:04:27 Servidor sshd[14326]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.139.168.253

Nov 19 05:04:28 Servidor sshd[14326]: Failed password for invalid user user from 211.139.168.253 port 33250 ssh2

Nov 19 05:04:31 Servidor sshd[14328]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.139.168.253 user=root

Nov 19 05:04:33 Servidor sshd[14328]: Failed password for root from 211.139.168.253 port 33348 ssh2

Nov 19 05:04:37 Servidor sshd[14330]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.139.168.253 user=root

Nov 19 05:04:39 Servidor sshd[14330]: Failed password for root from 211.139.168.253 port 33446 ssh2

Nov 19 05:04:42 Servidor sshd[14332]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.139.168.253 user=root

Nov 19 05:04:44 Servidor sshd[14332]: Failed password for root from 211.139.168.253 port 33577 ssh2

Nov 19 05:04:48 Servidor sshd[14334]: Invalid user test from 211.139.168.253

Nov 19 05:04:48 Servidor sshd[14334]: (pam_unix) check pass; user unknown

Nov 19 05:04:48 Servidor sshd[14334]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.139.168.253

Nov 19 05:04:49 Servidor sshd[14334]: Failed password for invalid user test from 211.139.168.253 port 33698 ssh2

Nov 19 05:09:01 Servidor CRON[14336]: (pam_unix) session opened for user root by (uid=0)

Nov 19 05:09:01 Servidor CRON[14336]: (pam_unix) session closed for user root

Nov 19 05:17:01 Servidor CRON[14345]: (pam_unix) session opened for user root by (uid=0)

Nov 19 05:17:01 Servidor CRON[14345]: (pam_unix) session closed for user root

Nov 19 05:39:01 Servidor CRON[14348]: (pam_unix) session opened for user root by (uid=0)

Nov 19 05:39:01 Servidor CRON[14348]: (pam_unix) session closed for user root

Nov 19 06:09:01 Servidor CRON[14357]: (pam_unix) session opened for user root by (uid=0)

Nov 19 06:09:01 Servidor CRON[14357]: (pam_unix) session closed for user root

Nov 19 06:17:01 Servidor CRON[14366]: (pam_unix) session opened for user root by (uid=0)

Nov 19 06:17:01 Servidor CRON[14366]: (pam_unix) session closed for user root

Nov 19 06:25:01 Servidor CRON[14370]: (pam_unix) session opened for user root by (uid=0)

Nov 19 06:25:01 Servidor su[14398]: Successful su for nobody by root

Nov 19 06:25:01 Servidor su[14398]: + ??? root:nobody

Nov 19 06:25:01 Servidor su[14398]: (pam_unix) session opened for user nobody by (uid=0)

Nov 19 06:25:01 Servidor su[14398]: (pam_unix) session closed for user nobody

Nov 19 06:25:01 Servidor su[14402]: Successful su for nobody by root

Nov 19 06:25:01 Servidor su[14402]: + ??? root:nobody

Nov 19 06:25:01 Servidor su[14402]: (pam_unix) session opened for user nobody by (uid=0)

Nov 19 06:25:01 Servidor su[14402]: (pam_unix) session closed for user nobody

Nov 19 06:25:01 Servidor su[14404]: Successful su for nobody by root

Nov 19 06:25:01 Servidor su[14404]: + ??? root:nobody

Nov 19 06:25:01 Servidor su[14404]: (pam_unix) session opened for user nobody by (uid=0)

Nov 19 06:25:02 Servidor su[14404]: (pam_unix) session closed for user nobody

Nov 19 06:25:03 Servidor CRON[14370]: (pam_unix) session closed for user root

Nov 19 06:39:01 Servidor CRON[14477]: (pam_unix) session opened for user root by (uid=0)

Nov 19 06:39:01 Servidor CRON[14477]: (pam_unix) session closed for user root

Nov 19 07:09:01 Servidor CRON[14486]: (pam_unix) session opened for user root by (uid=0)

Nov 19 07:09:01 Servidor CRON[14486]: (pam_unix) session closed for user root

Nov 19 07:17:01 Servidor CRON[14495]: (pam_unix) session opened for user root by (uid=0)

Nov 19 07:17:01 Servidor CRON[14495]: (pam_unix) session closed for user root

Nov 19 07:39:01 Servidor CRON[14498]: (pam_unix) session opened for user root by (uid=0)

Nov 19 07:39:01 Servidor CRON[14498]: (pam_unix) session closed for user root

Nov 19 08:09:01 Servidor CRON[14508]: (pam_unix) session opened for user root by (uid=0)

Nov 19 08:09:01 Servidor CRON[14508]: (pam_unix) session closed for user root

Nov 19 08:14:44 Servidor sshd[14517]: Did not receive identification string from 202.106.62.52

Nov 19 08:17:01 Servidor CRON[14518]: (pam_unix) session opened for user root by (uid=0)

Nov 19 08:17:01 Servidor CRON[14518]: (pam_unix) session closed for user root

Nov 19 08:18:33 Servidor sshd[14521]: Invalid user admin from 202.106.62.52

Nov 19 08:18:33 Servidor sshd[14521]: (pam_unix) check pass; user unknown

Nov 19 08:18:33 Servidor sshd[14521]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.106.62.52

Nov 19 08:18:35 Servidor sshd[14521]: Failed password for invalid user admin from 202.106.62.52 port 53296 ssh2

Nov 19 08:18:42 Servidor sshd[14523]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.106.62.52 user=root

Nov 19 08:18:44 Servidor sshd[14523]: Failed password for root from 202.106.62.52 port 55958 ssh2

Nov 19 08:18:49 Servidor sshd[14525]: Invalid user stud from 202.106.62.52

Nov 19 08:18:49 Servidor sshd[14525]: (pam_unix) check pass; user unknown

Nov 19 08:18:49 Servidor sshd[14525]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.106.62.52

Nov 19 08:18:52 Servidor sshd[14525]: Failed password for invalid user stud from 202.106.62.52 port 58513 ssh2

Nov 19 08:18:57 Servidor sshd[14527]: Invalid user trash from 202.106.62.52

Nov 19 08:18:57 Servidor sshd[14527]: (pam_unix) check pass; user unknown

Nov 19 08:18:57 Servidor sshd[14527]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.106.62.52

Nov 19 08:18:59 Servidor sshd[14527]: Failed password for invalid user trash from 202.106.62.52 port 60716 ssh2

Nov 19 08:19:04 Servidor sshd[14529]: Invalid user aaron from 202.106.62.52

Nov 19 08:19:04 Servidor sshd[14529]: (pam_unix) check pass; user unknown

Nov 19 08:19:04 Servidor sshd[14529]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.106.62.52

Nov 19 08:19:06 Servidor sshd[14529]: Failed password for invalid user aaron from 202.106.62.52 port 34604 ssh2

Nov 19 08:19:11 Servidor sshd[14531]: Invalid user gt05 from 202.106.62.52

Nov 19 08:19:11 Servidor sshd[14531]: (pam_unix) check pass; user unknown

Nov 19 08:19:11 Servidor sshd[14531]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.106.62.52

Nov 19 08:19:13 Servidor sshd[14531]: Failed password for invalid user gt05 from 202.106.62.52 port 36748 ssh2

Nov 19 08:19:18 Servidor sshd[14533]: Invalid user william from 202.106.62.52

Nov 19 08:19:18 Servidor sshd[14533]: (pam_unix) check pass; user unknown

 

 

¿Me están entrando en el servidor? pués a esas horas yo no me conecté para nada y eso que cambio la contraseña periodicamente pero nada no falla a diario me pasa lo mismo ¿que ago? 

 

¿cómo protejo mi servidor? 

Imagen de furtaxi
+1
0
-1

de intromisión a base de probar combinaciones. es lo que aparenta. pero se está dando de cabeza contra la clave de administrador, y no logra entrar.

Como lo hace desde la IP 202.106.62.52. pues bloquéala de momento en las iptables, y, por si acaso, durante unas semanas usa una clave bastante complicada, con letras y números al azar, al menos 10 caracteres, y alguna consonante mayúscula entre otras dos consonantes minúsculas, y/o al revés, para desbaratar las secuencias lógicas.

Y usa el whois, a ver si sabe a quién pertenece ésa IP.

No le hagas ningún ping desde tu máquina, si eso, usa una wireless pública y abierta, o desde un cyber, si quieres investigar.

Si contactas con tu proveedor, podrá cambiarte la IP a otra. 

Saludos,

Roberto.

Mi página: www.vigonews.es

Lee y cumple las Normas. Busca antes de preguntar.
Cuando visites un hilo, pulsa marcar para informar a los Moderadores de su relevancia.

+1
0
-1

Mi web : www.vigovideo.es
Buscar es más rápido que esperar una respuesta.

Imagen de lyoncat
+1
0
-1

Hola, no se si te servira de algo, pero encontré esto:

202.106.62.52 202.106.62.52 BEIJING GUANGDONG  CHINA CNCGROUP BEIJING PROVINCE NETWORK

Salu2 

+1
0
-1
Imagen de furtaxi
+1
0
-1

Y cualquiera de sus usuarios puede ser el que lanza los ataques, va a ser difícil identificarlo. Lo mejor, cambiar de IP y mantener la seguridad algo paranoica, hasta que el tipo desista. O mandar un e-mail al administrador con los datos, pero si es él o algún amigo suyo...Hablamos de China, por dinero, cualquier cosa. Y el caso contrario, que intervengan las autoridades, y que por hacker, le pongan delante de un pelotón de fusilamiento....

Saludos,

Roberto.

Mi página: www.vigonews.es

Lee y cumple las Normas. Busca antes de preguntar.
Cuando visites un hilo, pulsa marcar para informar a los Moderadores de su relevancia.

+1
0
-1

Mi web : www.vigovideo.es
Buscar es más rápido que esperar una respuesta.

Imagen de jgalonso
+1
0
-1

Si las ips de donde llevan atacado al servidor son de:

China

Turquía

Rusia

 

¿Raro no? 

 

Estube buscando información para configurar iptables algún manual decente y fiable 

+1
0
-1
Imagen de furtaxi
+1
0
-1

 En la pestaña normativa, activas las IPs y los Puertos que te interesen, todos los demás, quedan cerrados.

Luego, manualmente, dale una mirada a éste hilo:

http://www.ubuntu-es.org/index.php?q=node/57512

Aunque es para abrir puertos, te explica lo que hay que hacer en consola.

De todas formas, no te han conseguido entrar, así que puedes estar tranquilo...salvo que uses desde tu conexión un ordenador con Windows :( 

Saludos,

Roberto.

Mi página: www.vigonews.es

Lee y cumple las Normas. Busca antes de preguntar.
Cuando visites un hilo, pulsa marcar para informar a los Moderadores de su relevancia.

+1
0
-1

Mi web : www.vigovideo.es
Buscar es más rápido que esperar una respuesta.

Imagen de chatuser
+1
0
-1

Son ataques por fuerza bruta sin mayor importancia, usa una clave fuerte de 15 caracteres que cambies a menudo.

Si además quieres asegurar más el ssh tienes varias opciones:

- limitar la IP de origen desde donde se conecta el ssh

- exigir un certificado para conectar por ssh, puedes generarlo con las mismas herramientas del ssh

- eliminar al root del login por ssh y usar otro usuario como intermediario, esto es muy efectivo y lo uso siempre, así es IMPOSIBLE que acierten la clave de root porque simplemente no le permites login. Si además usas certificado y restringes la IP origen (si es posible) ya pueden llamar a la puerta que les darás con ella en las narices.

Lee la documentación del ssh y verás cómo puedes limitar que un desocupado esté probando claves a ver si acierta.

----------
unzip, strip, touch, finger, mount, fsck, more, yes, unmount, sleep - my daily Unix command list

Sólo los peces muertos van a favor de la corriente
<º ))))><

+1
0
-1

----------
La ignorancia es el mejor negocio
Sólo los peces muertos van a favor de la corriente
<º)))<