[Alumnos] Ataques por fuerza bruta sobre ssh (2)

Federico Ariel Bareilles fede en libertad.fcaglp.unlp.edu.ar
Jue Abr 6 12:54:54 ART 2017 

Hola a Todas y Todos,

 	Los intentos de ataque por fuerza bruta sobre ssh continúan. 
Estamos haciendo diferentes tipos de análisis para tratar de entender lo 
que esta pasando: Se nos ocurrió georeferenciar los numero IP desde donde 
se inician los ataque y representarlos en el mapa; compartimos con ustedes 
el resultado:

 	http://ataquesfcaglp.fcaglp.unlp.edu.ar/

si bien es un borrador, sirve para sospechar que es algo grande, es 
globalmente homogéneo, coincidiendo con las zonas pobladas que tienen 
acceso a Internet. No somos el objetivo del ataque, los es toda Internet.

 	Por si alguno no entiende bien que es los que se representa: Cada 
globito indica un máquina (o equipo) que ya ha sido vulnerada y desde ella 
se inician nuevos ataques. Pude tratarse de una computadora o un 
dispositivo como modems o routers con o sin wifi.

 	El georeferenciamiento no es totalmente preciso en el 100% de los 
casos, pero si caen en el país correcto.

Recomendaciones:

 	Usar passwords robustas en todos lados.

 	Los que tengan equipos Linux en sus casa deberían instalar 
fail2ban. En las distribuciones basadas en debían como ubuntu o mint:

$ sudo apt-get install fail2ban

la configuración por defecto alcanza para bloquear ataques sobre ssh.

 	Si tienen contratado el servicio de speedy, pude que los modems 
estén comprometidos; es un tema que estamos estudiando. No hemos 
encontrado una explicación a que los equipos vulnerados en Argentina son 
todos con IPs de Telefónica.

 	Saludos,

Equipo de Soporte Informático
de la FCAGLP - UNLP.





On Mon, 3 Apr 2017, Federico Ariel Bareilles wrote:

> Hola a Todas y Todos,
>
> 	Los ataque por fuerza bruta sobre ssh son cosa cotidiana en nuestra 
> red desde hace años; pero desde el 19 de marzo la frecuencia de ataques sobre 
> la facultad aumento significativamente. En los últimos 5 días (29/03 al 3/04) 
> la cuenta supero los 5000 IP desde los que se intento un ataque sobre 
> diferentes equipos (monitoreados) en la Facultad.
>
> 	Inicialmente el origen de los IPs era de China, luego se agregaron 
> India y África; actualmente hay de Europa, Arabia, Perú, Brasil y Argentina 
> (Telefónica únicamente). La mayoría corresponden a equipos domiciliarios; es 
> de suponer que el ataque inicial de China ha tenido éxito en muchos lugares 
> del planeta y se van sumando al ataque.
>
> 	En la Facultad tenemos un mecanismo dinámico de defensa para este 
> tipo de ataques basado en análisis de logs; pero son unos pocos equipos los 
> que aportan logs files al sistema. Les pedimos a quienes deseen colaborar con 
> los logs de sus equipos hacer lo siguiente:
>
> 	Requisitos: usar Linux, tener habilitado el servicio de ssh y acceso 
> a root.
>
> 	Como usuario root:
>
> *) Bajar el archivo:
>
> http://fcaglp.fcaglp.unlp.edu.ar/datos/soporte/remotelog.conf
>
> *) Colocarlo en /etc/rsyslog.d/
>
> mv remotelog.conf /etc/rsyslog.d/
>
> *) Reiniciar el sistema de logeo:
>
> /etc/init.d/rsyslog restart
>
>
> 	Por supuesto, es una sugerencia y no hay obligación hacerlo. Tampoco 
> es la intención de este mail generar pánico ni preocupación. Sólo se pretende 
> informar a nuestra comunidad una situación que se salio de la "normalidad". 
> Tampoco hemos encontrado reportes globales de este problema.
>
> 	Consultas y sugerencias a soporte en fcaglp.unlp.edu.ar
>
> 	Saludos,
>
> Equipo de Soporte Informático
> de la FCAGLP - UNLP.

Más información sobre la lista de distribución Alumnos