Is it a fake website?

13 mayo 2008

4 motivos por los que puede interesar acceder a tu equipo

En la medida de lo posible contesto alguna que otra consulta que me realizan a través de la dirección de correo publicada aquí en la parte derecha, consultas la mayoría de ellas sobre administración de sistemas. Pero hace unos días, me encontre una en mi buzón a la cual contestare en este post porque puede servir para más gente.

El correo en cuestión, era este;

Cordial saludo,

Buscando en google algun sitio que pudiera ayudarme a entender un poco
lo que me esta pasando me encontre con tu pagina y como eres
hispanohablante me atrevi a escribirte esperando que pudieras
ayudarme.

Hace unos dos o tres meses mi servidor esta siendo atacado, como lo
se? al principio fue algo que paso desapersibido porque 1. No soy
administrador de sistemas, 2. Nunca crei que alguien estuviera
interesado en atacar mi servidor, es decir alli no tengo nada valioso,
solo informacion de mi pequeña compañia que no debe de interesarle a
nadie y 3. Simplemente no lo crei importante. Ahora el asunto se ha
vuelto incontrolable y muy molesto, mi correo recibe al menos unos
4.000 correos de este tipo:

Invalid SSH login attempt by user "admin" from ipaddress X.X.X.118.
Date of Access :- 05/11/2008.
Time of Access :- 05:34:56.
Reason :- No user.

cada vez el user y la ip cambian y los correos llegan espaciados por
un tiempo de unos 2 minutos en promedio. Como te decia este tema ya es
muy molesto porque cada vez mi correo se demora mas y mas en abrir y
ya no se que hacer.

Te repito que no soy administrador de sistemas pero puedo facilmente
seguir indicaciones de cualquier manual o guia, tengo conocimientos
basicos en SO pero mi especialidad es el desarrollo de aplicaciones
web, si pudieras ayudarme con algo te lo agradeceria mucho.


--
Gracias,

Bueno, lo primero, indicar que no dices que S.O utiliza tu servidor, es un dato vital, ya que de ello depende la herramienta que utilicemos, pero con el dato de SSH sabemos que se trata de una distribución linux.

Lo segundo, afirmas que no tienes nada valioso y te preguntas quien puede estar interesado en información de tu pequeña compañía.
Esta es una cuestión que al parecer mucha gente desconoce, no se trata de la información que tienes (o sí), si intentan entrar en tu equipo puede ser por 4 motivos:
  1. Te ha elegido al azar un script-kiddie para probar sus chucherías.
  2. Tienes información que puede interesarle a alguien.
  3. Eres objeto de un ataque automático porque tu equipo cumple X requisitos.
  4. No tienes nada interesante pero tú equipo está conectado a Internet 24x7.
En el caso del punto 1, un script-kiddie se aburre pronto, y este no parece ser el caso, indicas que llevas así más de 3 meses. El punto 2 es subjetivo, sólo tú sabes la información que mantienes en el servidor. El punto 3 lo descartamos porque sería algo puntual, y no constante como en este caso. Y prácticamente todas las conexiones caseras de adsl con p2p pertenecen al punto 4, no hay nada interesante pero lo interesante es que tienen conexión a Internet, ideal para pertenecer a la prestigiosa categoría de "máquina zombie" de alguna botnet.


Lo primero que te indicaría, es denunciar por abuso esa ip a través del servicio de registro de IPs de tu país (tampoco lo indicas pero presumo que eres latinoamericano). Elige tu continente y búscala. Cuando la encuentres, verás una dirección de correo para reportar abusos de dicha IP.
Pero hoy día, esta vía no es muy válida, porque muchos ataques se realizan a través de máquinas que pertenecen al punto 4 de la lista anterior, de ahí la poca importancia al pensar que nadie puede estar interesado en nuestro equipo. Hay verdaderas mafias que controlan redes de botnets para alquilarlas y realizar a través de ellas ataques, phisings...

Si lo que pides es una solución técnica, ésta puede ser tan simple como:
Ubuntu 8.0.4 con Uncomplicated FireWall
#sudo ufw deny from {IP address}


o googlear hasta encontrar una solución para tu distro.

Suerte amigo!

3 comentarios:

John dijo...

Y ahora te pregunto yo una duda que tengo, como administrador de sistemas que soy.
Hace un tiempo note que el router de la empresa se quedaba frito cada vez mas frecuentemente, era uno de esos tipicos de telefonica que te ponen con el adsl.
Lo cambiamos por otro que incluia un firewall y lo configure para denegar todo lo que no fuera especificamente habilitado, tanto de entrada como de salida.
Pues revisando los logs, veo que tengo ataques constantes de DOS (que rechaza el nuevo router) pero de una manera muy escandalosa y abusiva todo el dia y toda la noche.
Son miles de ips distintas. ¿Hay alguna manera de denunciar esto?
Yo supongo que no, pero es increible la de mierda que llega cada minuto al router de la empresa...

Unknown dijo...

También podría quitar el SSH en caso de que no lo este utilizando o si lo utiliza, cambiar el puerto.
Otra cosa, en mi opinión es mejor utilizar DROP en lugar de DENY. Ya que el DENY volverá al "atacante" y desgasta el sistema.

Anónimo dijo...

Sólo una aclaración. Que la consulta trate sobre conexiones al puerto típico de SSH no significa que el equipo sea un Linux, existen distribuciones de OpenSSH para otros SS.OO.