Protegiendose contra UnixCoD Scanner ssh

Últimamente he estado lidiando con servidores de algunas empresas que tenían el ssh dando la cara a internet (es decir abiertos), y algunos hasta hakeados , esto me imagino a la simplicidad con la que actualmente se puede implementar un servidor web o de correo en la actualidad , pero como siempre la seguridad es lo ultimo en que se piensa como en estos casos.

bueno debido a esto me tope con ese programa UnixCoD al parecer esta de moda debido su simplicidad y eficiencia a la hora hacer su trabajo , es un scanner que ataca al puerto 22 ssh mediante fuerza bruta ( diccionario de usuarios y contrasenas)  ¨ojo no es el unico¨ ,  así que si ven en su /var/log/auth.log muchos intentos extraños por ssh , no duden de que tarde o temprano van a poder entrar a su sistema.

Esta explicacion es con fines didacticos ya que hay que aprender a usar la herramienta para poder bloquearla:

descomprimir
tar zxvf unixcod.tar.gz
cd unixcod

scanear todo el rango (203.130.x.x)
./unix 203.130

de encontrar alguna maquina vulnerable, el hack estará en
cat vuln.txt

Como prevenir esto, bueno simple protegiendo el ssh y no dejarlo de manera estandar
# vi /etc/ssh/sshd_config

– cambiar el puerto por defecto ( por ejemplo este)
Port 22  por Port 475992

– Desabilitar logeo como root
PermitRootLogin no

– Banear entradas recurrentes , esto lo hacemos con fail2ban

# apt-get install fail2ban
# vi /etc/fail2ban/jail.local

Creacion de directica
[ssh]enabled = true
port = 475992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3  # maximo 3 entradas erronas

Finalmente reiniciamos fail2ban y ssh

# /etc/init.d/fail2ban restart
# /etc/init.d/ssh restart
Con esto incrementaremos la seguridad en nuestro equipo aunque lo ideal seria pensar en acceder via vpn,  claves privadas o algun metodo parecido.

Anuncios
Esta entrada fue publicada en Debian, Linux, Manuales y tutoriales por jroliva. Guarda el enlace permanente.

Acerca de jroliva

Juan Oliva, es un consultor de seguridad informática y telefonía IP con 10 años de experiencia en el campo . Muy involucrado en proyectos de pruebas de penetración , análisis y explotación vulnerabilidades, pruebas de ingeniería social, seguridad física, revisión de código, entre otras tareas de seguridad informática. Así mismo, desarrolla proyectos de implementación y mantenimiento de VoIP, basadas en Asterisk y Elastix, proyectos de callcenter, soluciones en la nube y hosted PBX, Aseguramiento de plataformas Linux, Windows. Ha estado trabajando para una variedad de empresas en donde ha desarrollado proyectos para el estado peruano, así como para entidades privadas, nacionales y del extranjero, cuenta con certificaciones vigentes en Ethical hacking, Linux y telefonía IP. Es instructor de cursos de Ethical Hacking y certificaciónes como Linux Professional Institute y Elastix, donde ha tenido oportunidad de realizar capacitaciones en el Perú, así como en el extranjero. Es investigador de vulnerabilidades, y creador de contenidos, que son publicados en su blog personal jroliva.wordpress.com el cual mantiene desde hace mas de 6 años.

2 pensamientos en “Protegiendose contra UnixCoD Scanner ssh

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s