Ayuda por favor mi server está siendo atacado por un hacker….



  • Pido ayuda por favor ya que desde una semana para acá, revisando en System Log, he notado que alguién está intentando vulnerar o entrar a la fuerza a mi servidor y no sé realmente que hacer para protegerme?

    Pd: Mi red se encuentra abierta y sólo impide el acceso a la red el portal captive. Por fa ayudenme a buscar una pronta solución…

    Pd2: Estos son los mensajes que arroja el system log.

    SYSTEM LOG

    Sep 19 14:20:34 miniupnpd[774]: HTTP Connection closed inexpectedly
    Sep 19 14:31:29 miniupnpd[774]: HTTP Connection closed inexpectedly
    Sep 19 14:35:22 sshd[23075]: Failed password for root from 119.147.105.180 port 46095 ssh2
    Sep 19 14:38:49 miniupnpd[774]: recv (state0): Connection reset by peer
    Sep 19 14:54:19 miniupnpd[774]: Failed to convert hostname 'USUARIO1' to ip address
    Sep 19 14:55:44 miniupnpd[774]: recv (state0): Operation not permitted
    Sep 19 15:01:50 miniupnpd[774]: recv (state0): Operation not permitted
    Sep 19 15:06:34 miniupnpd[774]: recv (state0): Operation not permitted
    Sep 19 15:16:37 last message repeated 2 times
    Sep 19 15:18:41 dhclient[311]: SENDING DIRECT
    Sep 19 15:21:50 miniupnpd[774]: recv (state0): Connection reset by peer
    Sep 19 15:22:19 miniupnpd[774]: recv (state0): Operation not permitted
    Sep 19 15:24:04 miniupnpd[774]: recv (state0): Operation not permitted
    Sep 19 15:26:38 miniupnpd[774]: recv (state0): Operation not permitted
    Sep 19 15:41:13 miniupnpd[774]: recv (state0): Operation not permitted
    Sep 19 15:44:21 last message repeated 2 times
    Sep 19 15:46:45 miniupnpd[774]: recv (state0): Operation timed out
    Sep 19 15:48:54 miniupnpd[774]: recv (state0): Connection reset by peer
    Sep 19 15:49:32 miniupnpd[774]: recv (state0): Connection reset by peer
    Sep 19 15:49:40 miniupnpd[774]: recv (state0): Connection reset by peer
    Sep 19 15:57:00 miniupnpd[774]: recv (state0): Operation not permitted
    Sep 19 15:58:18 miniupnpd[774]: recv (state0): Connection reset by peer
    Sep 19 15:59:10 miniupnpd[774]: recv (state0): Operation not permitted
    Sep 19 16:01:42 miniupnpd[774]: recv (state0): Connection reset by peer
    Sep 19 16:10:50 miniupnpd[774]: recv (state0): Connection reset by peer
    Sep 19 16:18:20 pftpx[447]: #2 client reset connection
    Sep 19 16:18:20 pftpx[447]: #2 client reset connection
    Sep 19 16:18:41 dhclient[311]: DHCPREQUEST on rl0 to 192.168.1.1 port 67
    Sep 19 16:18:41 dhclient[311]: SENDING DIRECT
    Sep 19 16:18:41 dhclient[311]: DHCPACK from 192.168.1.1
    Sep 19 16:31:22 sshd[37293]: Did not receive identification string from 190.41.232.172
    Sep 19 16:35:56 sshd[37747]: Failed password for admin from 190.41.232.172 port 45110 ssh2
    Sep 19 16:36:01 sshd[37750]: Invalid user cindy from 190.41.232.172
    Sep 19 16:36:01 sshd[37750]: Failed password for invalid user cindy from 190.41.232.172 port 45125 ssh2
    Sep 19 16:36:07 sshd[37753]: Invalid user anna from 190.41.232.172
    Sep 19 16:36:07 sshd[37753]: Failed password for invalid user anna from 190.41.232.172 port 45135 ssh2



  • ¡Hola!

    Según http://doc.pfsense.org/index.php/What_is_UPNP%3F si empleas UPNP hay que ir con mucho cuidado.

    Por otro lado, dejar un SSH en el puerto 22 (no sé si es el caso) es objeto de este tipo de ataques, probando usuario/contraseña.

    En Google salen muchas páginas con la IP 190.41.232.172. Pon una regla en WAN que le deniegue el tráfico. Es un parche, pero funciona.

    Saludos,

    Josep Pujadas



  • Gracias por contestar bellera, dime si desactivo la opcion (Enable Secure Shell) no pasaría nada, es decir, igual puedo accesar a mi pfsense tanto desde la consola (ver aunque sea la ventana de inicio de la consola con monitor), como de manera online a través de mi IP….

    O es mejor cambiar el puerto 22? si es así por fa dame una sugerencia que puerto puedo colocar? o si es indiferente colocar 25530 ò 27? Disculpa mi ignorancia....

    Otra cosa tengo hecho un nat con ssh (22) hacia la wn si lo elimino que pasaría? Mi server se alimenta de un balanceador de 2 wan...

    Efectivamente como dices si tengo upnp configurado para que pase la cámara web del mesenger...



  • ¡Hola!

    O es mejor cambiar el puerto 22? si es así por fa dame una sugerencia que puerto puedo colocar? o si es indiferente colocar 25530 ò 27? Disculpa mi ignorancia….

    Puedes cambiar a otro, el que quieras. Es una práctica habitual hacerlo, para no exponer el 22. Almenos confunde algo.

    Otra cosa tengo hecho un nat con ssh (22) hacia la wn si lo elimino que pasaría? Mi server se alimenta de un balanceador de 2 wan…

    Entiendo que esto lo tienes para poder acceder a la consola desde Internet. No tiene nada que ver con el balanceador.

    En todo caso siempre hay que guardar la configuración en un ordenador a parte (config.xml) y probar …

    Saludos,

    Josep Pujadas



  • La posta suele ser no exponer el servidor SSH hacia la WAN, sino dejar abierto un OpenVPN, para que además de tener la contraseña del SSH haya que tener los certificados.

    Entonces en lugar de conectar directamente a la WAN por SSH, conectarías a la WAN por OpenVPN y después a la LAN por SSH.



  • Gracias por la sugerencia Brah, pero siguiendo los pasos de Bellera logre solucionar en algo al menos cesaron los ataques…


Log in to reply