[Lista VigoWireless] Fwd: Ataque a Quarz0 por fuerza bruta

Alex P lobisome at gmail.com
Wed Aug 29 18:11:26 CEST 2007 

A mi me sucedia con cierta frecuencia en Coruña cuando a coruña
wireless todavia existia. Despues de romperme mucho la cabeza decidi
instalar OpenBSD y solucionado. No hay dios que te entre en el sistema
una vez configurado. Y no quiero empezar ningun flameware de Linux vs
OpenBSD pero debo reconocer que con OpenBSD solo me entraron una vez,
fue por la adsl (no por el wifi) y lo consiguieron porque tenia un
phpnuke con bug. Lo unico que me hicieron fue reventarme la web.

Prueba a limitar el acceso por ssh a determinada ip, cierra telnet,
sendmail etc... y demas sevicios vulnerables (si tienes sql por
ejemplo) o cortalos con un firewall

¿sabes ya como consiguio/eron entrar? Es decir, ¿tenias el usuario
nobody sin passwd?
Avisa al CSI que te hagan un analisis forense jejeje

Un saludo
Alex

On 8/29/07, Jorge Rúa Riveiro <peribrown at vigowireles.info> wrote:
>
> Buenas , a mi me tiene toda la pinta de ser el tipico script que sondea inet
> buscando puertos 22 abiertos y lanza ataques por fuerza bruta .
> ¿Soluciones? lo primero cambiar el daemon ssh de puerto ,y despues podrías
> probar algo como fail2ban , que tras X intentos fallidos de autenticacion
> desde
> una ip , la banea .
>
> Yo tuve , y me imagino que muchas personas más , ese problema en la empresa
> . Suele ser algo habitual .
> Un saludo
>
>
>
> El 29/08/2007, a las 15:52, [Lord Tayron] escribió:
>
>
> Hola gente, ya lo he publicado en Quarzo, pero aun asi nlo quiero enviar a
> la lista.
>
> No entiendo el porqué, ni quiero empezar a sacar conjeturas del quien pudo
> ser, pero en fin, estoy sinceramente preocupado, pues cacharreo muchisimas
> horas en mi ordenador, sé que no escribo mucho en la lista, y que tampoco
> publico nada, pero estoy ahí, siempre, todos los dias, todas las noches,
> despues de trabajar. No reviso los logs dia a dia, pero esta claro que debo
> empear a hacerlo, y muchas veces dejo puertos abiertos,pues hago inumerables
> pruebas con amigos, recientemente trasnferí un disco duro entero a Quarz0,
> todos los datos de una de mis mejores amigas, a modo de backup temporal,
> copn esto quiero resaltar que los datos de Quarzo, así como su integridad y
> su seguridad ya me empiezan a precupar, motivo por el cual, el ataque no
> puede pasar desapercibido por mi.
>
>
> Aug 26 22:17:01 Quarzo CRON[3034]: (pam_unix) session closed for user root
>  Aug 26 22:20:15 Quarzo sshd[3046]: Did not receive identification string
> from 217.72.251.207
>  Aug 26 22:25:02 Quarzo sshd[3047]: Invalid user t1na from 217.72.251.207
>  Aug 26 22:25:04 Quarzo sshd[3049]: Invalid user t1na from 217.72.251.207
>  Aug 26 22:25:07 Quarzo sshd[3051]: Invalid user logic from 217.72.251.207
>  Aug 26 22:25:09 Quarzo sshd[3053]: Invalid user diablo from 217.72.251.207
>  Aug 26 22:25:11 Quarzo sshd[3055]: Invalid user b1ablo from 217.72.251.207
>  Aug 26 22:25:13 Quarzo sshd[3057]: Invalid user paradise from
> 217.72.251.207
>  Aug 26 22:25:16 Quarzo sshd[3059]: Invalid user paradisse from
> 217.72.251.207
>
>
> Aug 28 01:05:42 Quarzo sshd[23729]: Invalid user postmaster from
> 208.113.188.28
> Aug 28 01:05:44 Quarzo sshd[23731]: Invalid user testuser from
> 208.113.188.28
> Aug 28 01:05:46 Quarzo sshd[23733]: Invalid user tester from 208.113.188.28
> Aug 28 01:05:53 Quarzo sshd[23741]: Invalid user knoppix from 208.113.188.28
> Aug 28 01:05:57 Quarzo sshd[23745]: Invalid user design from 208.113.188.28
> Aug 28 01:06:00 Quarzo sshd[23749]: Invalid user public from 208.113.188.28
>
>
> Este es el inicio y el final del archivo del log, despues ponia esto:
>
>
> Aug 28 05:17:01 Quarzo CRON[23967]: (pam_unix) session closed for user root
> Aug 28 05:39:01 Quarzo CRON[23980]: (pam_unix) session opened for user root
> by (uid=0)
> Aug 28 05:39:01 Quarzo CRON[23980]: (pam_unix) session closed for user root
> Aug 28 06:09:01 Quarzo CRON[24001]: (pam_unix) session opened for user root
> by (uid=0)
> Aug 28 06:09:01 Quarzo CRON[24001]: (pam_unix) session closed for user root
> Aug 28 06:17:01 Quarzo CRON[24009]: (pam_unix) session opened for user root
> by (uid=0)
> Aug 28 06:17:01 Quarzo CRON[24009]: (pam_unix) session closed for user root
> Aug 28 06:25:01 Quarzo CRON[24022]: (pam_unix) session opened for user root
> by (uid=0)
> Aug 28 06:25:02 Quarzo su[24069]: Successful su for nobody by root
> Aug 28 06:25:03 Quarzo su[24069]: + ??? root:nobody
> Aug 28 06:25:03 Quarzo su[24069]: (pam_unix) session opened for user nobody
> by (uid=0)
> Aug 28 06:25:03 Quarzo su[24069]: (pam_unix) session closed for user nobody
> Aug 28 06:25:03 Quarzo su[24073]: Successful su for nobody by root
>
>
> ----------------------
>
> En fin, Que opinais?
>
> _______________________________________________
> Lista mailing list
> Lista at vigowireless.info
> http://lists.vigowireless.info/mailman/listinfo/lista
>
> _______________________________________________
> Lista mailing list
> Lista at vigowireless.info
> http://lists.vigowireless.info/mailman/listinfo/lista
>
>

More information about the Lista mailing list