Seguridad ssh

2 envíos / 0 nuevos
Último envío
#1 Sáb, 20/05/2017 - 14:51
yuliam
Imagen de yuliam
Desconectado/a
se unió: 20/05/17

Seguridad ssh

Estado: 
[ABANDONADO]

Un saludo desde Las Palmas de Gran Canaria. Tengo una vm debian sobre proxmox que utilizo para acceso ssh. Cuando la monté cree claves ssh para evitar el acceso por contraseñas pues leí varios tutos que era una forma de evitar que te pirateasen. Posteriormente me instalé el failban2 y comencé a recibir mensajes de banneo de ips procedente de china.net. Añadí all fichero hosts.deny la red 222.186. para evitar futuros accesos, por otra parte cambie el puerto estandar 22 y no he vuelto a recibir más mensaje de failband2 hasta hace unos días.

Las conexiones con el servidor tardan cierto tiempo en conectar y cuando lo hago suelo recibir este mensaje siempre desde la misma ip.Creo que me han pirateado pero no estoy seguro de como comprobarlo o como solucionar el problema.

¿Alguien podría orientarme?

Gracias de antemano y un saludo.

 

Hi,

The IP 88.198.116.32 has just been banned by Fail2Ban after
3 attempts against ssh.


Here is more information about 88.198.116.32:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '88.198.0.0 - 88.198.255.255'

% Abuse contact for '88.198.0.0 - 88.198.255.255' is 'abuse@hetzner.de'

inetnum:        88.198.0.0 - 88.198.255.255
netname:        DE-HETZNER-20051227
country:        DE
org:            ORG-HOA1-RIPE
admin-c:        HOAC1-RIPE
tech-c:         HOAC1-RIPE
status:         ALLOCATED PA
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         HOS-GUN
mnt-lower:      HOS-GUN
mnt-routes:     HOS-GUN
created:        2005-12-27T12:36:33Z
last-modified:  2016-08-25T13:25:28Z
source:         RIPE # Filtered

organisation:   ORG-HOA1-RIPE
org-name:       Hetzner Online GmbH
org-type:       LIR
address:        Industriestrasse 25
address:        D-91710
address:        Gunzenhausen
address:        GERMANY
phone:          +49 9831 5050
fax-no:         +49 9831 5053
admin-c:        TF2013-RIPE
admin-c:        MF1400-RIPE
admin-c:        GM834-RIPE
admin-c:        HOAC1-RIPE
admin-c:        MH375-RIPE
admin-c:        SK2374-RIPE
admin-c:        SK8441-RIPE
abuse-c:        HOAC1-RIPE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        HOS-GUN
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         HOS-GUN
created:        2004-04-17T11:07:58Z
last-modified:  2016-08-25T13:26:09Z
source:         RIPE # Filtered

role:           Hetzner Online GmbH - Contact Role
address:        Hetzner Online GmbH
address:        Industriestrasse 25
address:        D-91710 Gunzenhausen
address:        Germany
phone:          +49 9831 505-0
fax-no:         +49 9831 505-3
abuse-mailbox:  abuse@hetzner.de
remarks:        *************************************************
remarks:        * For spam/abuse/security issues please contact *
remarks:        * abuse@hetzner.de, not this address. *
remarks:        * The contents of your abuse email will be *
remarks:        * forwarded directly on to our client for *
remarks:        * handling. *
remarks:        *************************************************
remarks:
remarks:        *************************************************
remarks:        * Any questions on Peering please send to *
remarks:        * peering@hetzner.de *
remarks:        *************************************************
org:            ORG-HOA1-RIPE
admin-c:        MH375-RIPE
tech-c:         GM834-RIPE
tech-c:         SK2374-RIPE
tech-c:         TF2013-RIPE
tech-c:         MF1400-RIPE
tech-c:         SK8441-RIPE
nic-hdl:        HOAC1-RIPE
mnt-by:         HOS-GUN
created:        2004-08-12T09:40:20Z
last-modified:  2015-08-06T09:39:14Z
source:         RIPE # Filtered

% Information related to '88.198.0.0/16AS24940'

route:          88.198.0.0/16
descr:          HETZNER-RZ-NBG-BLK4
origin:         AS24940
org:            ORG-HOA1-RIPE
mnt-by:         HOS-GUN
created:        2006-01-02T08:59:04Z
last-modified:  2006-01-02T08:59:04Z
source:         RIPE

organisation:   ORG-HOA1-RIPE
org-name:       Hetzner Online GmbH
org-type:       LIR
address:        Industriestrasse 25
address:        D-91710
address:        Gunzenhausen
address:        GERMANY
phone:          +49 9831 5050
fax-no:         +49 9831 5053
admin-c:        TF2013-RIPE
admin-c:        MF1400-RIPE
admin-c:        GM834-RIPE
admin-c:        HOAC1-RIPE
admin-c:        MH375-RIPE
admin-c:        SK2374-RIPE
admin-c:        SK8441-RIPE
abuse-c:        HOAC1-RIPE
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        HOS-GUN
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         HOS-GUN
created:        2004-04-17T11:07:58Z
last-modified:  2016-08-25T13:26:09Z
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.88.1 (WAGYU)

Regards,

Fail2Ban

 

Mié, 24/05/2017 - 23:14
rockyiii
Imagen de rockyiii
Conectado
administrator
se unió: 11/01/16

hola , veo que el tema esta abandonado. A mi me ha pasado un par de veces que fail2ban me bloquee la ip de la pc con que me conecto y para salir del paso la "solución" que le encontre en su momento es la de entrar usando tor.
Simplemente tendrias que instalar tor y connect-proxy y en la carpeta .ssh de tu home creas un archivo llamado config donde pones:

# misitioweb.com
Host 222.192.156.103
User rocky
IdentityFile /home/rocky/.ssh/mi_llave
CheckHostIP no
Compression yes
Protocol 2
ControlMaster auto
ControlPath ~/.ssh/master-%r@%h:%p
ProxyCommand connect -4 -S localhost:9050 $(tor-resolve %h localhost:9050) %p
Port 980

* con controlpath  y controlmaster podes abrir y cerrar barias sesiones ssh al mismo host con un solo logeo
* port no es necesario

Es bueno  usar claves ssh siempre y cuando las contraseñas que utilices sean robustas
PD: esta de mas decir que para ssh es muy buena practica bloquear el acceso via root
 

si te interesa retomar el tema podrías poner los log de fail2ban

saludos...