SSH – Intentos intrusión

Por lo que he podido leer, circula por la red un script que algunos lammers utilizan para probar conexiones contra el puerto 22, que normalmente suele ser donde escucha el servicio SSH(secure shell). Estos intentos también pueden deberse a otros pcs zoombies o simplemente, gente que quiere intentar entrar en el host por ssh. Esto es especialmente peligroso, si se tiene habilitado el acceso root por ssh. Aunque puede que exista la necesidad imperiosa de entrar por ssh para tareas de mantenimiento y no haya otra.

Más que el peligro de que accedan por ssh, cosa que no deja de ser complicada al fin y al cabo, lo que me molesta es la cantidad de accesos a disco que provocan estos intentos de acceso. Si vemos el log del secure, en /var/log/secure se puede ver algo así:

#Jan 14 00:31:00 dns7 sshd[3207]: Did not receive identification string from 189.17.176.130
#Jan 14 00:31:00 dns7 sshd[3208]: Did not receive identification string from 189.17.176.130
#Jan 14 00:46:20 dns7 sshd[3982]: Illegal user rhiroot from 189.17.176.130
#Jan 14 00:46:20 dns7 sshd[3983]: Illegal user rhiroot from 189.17.176.130
#Jan 14 00:46:31 dns7 sshd[3987]: Failed password for root from 189.17.176.130 port 36975 ssh2
#Jan 14 00:46:31 dns7 sshd[3988]: Failed password for root from 189.17.176.130 port 41299 ssh2
#Jan 14 00:46:37 dns7 sshd[3991]: Failed password for root from 189.17.176.130 port 37094 ssh2
#Jan 14 00:46:37 dns7 sshd[3992]: Failed password for root from 189.17.176.130 port 41420 ssh2

He leído que hay algunos scripts que, utilizando el iptables, banean automáticamente las ips que intentan acceder al sistema. De momento, lo que voy implementando es cambiar el puerto por el que escucha el ssh. Es una solución fácil que sólo implica recordar el puerto por el que nos debemos conectar a la máquina.

Para ver que puertos escuchan en el sistema

#netstat -antuwp | egrep "(^[^t])|(^tcp.*LISTEN)"

o

#nmap -sS

Editamos el fichero de configuración del ssh

#vi /etc/ssh/sshd_config

Output:

#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::

Cambiamos el número de port, el 22 que es el por defecto, por el que nosotros consideremos. Tenemos que reiniciar el servicio y probar la conexión de nuevo al nuevo puerto y ver que efectivamente, nos podemos conectar.

#/etc/init.d/sshd restart

o

#service sshd restart

Ahora sólo falta comprobar si los intentos de acceso por ssh remiten, comprobando los logs del secure dentro de /var/log/secure. Si alguien quiere colaborar con algún consejo bienvenido sea 😀

4 thoughts on “SSH – Intentos intrusión

  1. Samuel says:

    I found this post from a Google search for “rhiroot”. I too have SSH logs containing attempts from “rhiroot” followed immediately by “root”. The attempts are from January 8, 2008. But the source IP is different. The IP is 196.206.200.9. The intruder is probably using TOR for anonymity. We should talk more.

  2. Rubén Ortiz says:

    Hi Samuel

    i don’t believe that the attack came from the same person or same host in both cases. Im sure that one way to avoid this, not completely of course, is to change the ssh port. Most of this attacks always are trying to find the sshd listening from port 22. You`re right, we should talk more 😉

  3. jors says:

    I ara que hi penso, també tens altres històries (més paranoiques, això sí) com el ‘port knocking’ (que es combina amb iptables mateix).

Leave a Reply

Your email address will not be published. Required fields are marked *