Ataque de fuerza bruta por SSH a servidor Linux

Recibiendo Ataque de fuerza bruta por SSH a servidor Linux Centos7 (SOLUCIONADO)

Hace un par de días al acceder a mi servidor por SSH, veo un aviso que me dice: "There were 68992 failed login attempts since the last successful login." (Hubo 68992 intentos de inicio de sesión fallidos desde el último inicio de sesión exitoso.)

Cada segundo más o menos estaba recibiendo un intento de login por SSH con el usuario "root" y con otros nombre de usuario como "admin", "user2", etc.

Como ejemplo muestro la respuesta del comando "lastb" que muestra los intentos de acceso fallidos:

[root@server ~]#  lastb -ain 10

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

electrum ssh:notty    Thu Mar  8 08:42 - 08:42  (00:00)     80.147.210.170

electrum ssh:notty    Thu Mar  8 08:42 - 08:42  (00:00)     80.147.210.170

user2    ssh:notty    Thu Mar  8 08:41 - 08:41  (00:00)     109.245.221.126

user2    ssh:notty    Thu Mar  8 08:41 - 08:41  (00:00)     109.245.221.126

root     ssh:notty    Thu Mar  8 08:32 - 08:32  (00:00)     59.63.166.104

root     ssh:notty    Thu Mar  8 08:32 - 08:32  (00:00)     59.63.166.104

Con el comando "last" muestra los acceso correctos, ejemplo:

[root@server ~]#  last -ain 5

root     pts/0        Thu Mar  8 15:38   still logged in   mi-ip.xxx.xxx.xx

root     pts/0        Thu Mar  8 09:19 - 15:38  (06:19) mi-ip.xxx.xxx.xx

root     pts/1        Thu Mar  8 06:58 - 08:59  (02:00)    mi-ip.xxx.xxx.xx

konclass ftpd8541     Thu Mar  8 06:21 - 06:22  (00:01)    mi-ip.xxx.xxx.xx

konclass ftpd8539     Thu Mar  8 06:21 - 06:31  (00:10)     mi-ip.xxx.xxx.xx

Para ver más información sobre los intentos de acceso me voy a ver los log:   cd /var/log/

Al hacer un "ls" # ls -lh ya veo que los archivos de registro pesan demasiado:

17M mar  8 15:38 secure

31M mar  4 03:49 secure-20180304

Aquí muestro como ejemplo una parte del log "secure":

Mar  8 05:51:41 server sshd[6288]: Invalid user list from 188.166.213.215 port 46034
Mar  8 05:51:41 server sshd[6288]: input_userauth_request: invalid user list [preauth]
Mar  8 05:51:41 server sshd[6288]: pam_unix(sshd:auth): check pass; user unknown
Mar  8 05:51:41 server sshd[6288]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.166.213.215
Mar  8 05:51:43 server sshd[6288]: Failed password for invalid user list from 188.166.213.215 port 46034 ssh2
Mar  8 05:51:44 server sshd[6288]: Received disconnect from 188.166.213.215 port 46034:11: Normal Shutdown, Thank you for playing [preauth]
Mar  8 05:51:44 server sshd[6288]: Disconnected from 188.166.213.215 port 46034 [preauth]

Como solución, primero lo intente con FAIL2BAN, pero no me resulto nada bien, me bloqueaba el acceso a todos los sitios web alojados en el servidor, bloqueando los puertos 80 y 443 y tuve un lio del copón para volver a dejar todo funcionando de nuevo, en fin, un lío muy grande y seguía todo igual.

LA SOLUCIÓN! 

Instalar PLESK FIREWALL y crear una regla que bloquea el acceso SSH (puerto 22) con una excepción! mi IP. Sencillo y efectivo!

Puertos usados por Plesk

Esta sección proporciona información acerca de la configuración del firewall integrado en su panel para permitir el acceso a Plesk y a sus servicios.

A continuación se muestra una lista de los puertos y protocolos usados por los servicios de Plesk.

Nombre del servicio	Puertos usados por el servicio
Interfaz administrativo de Plesk mediante HTTPS	TCP 8443
Interfaz administrativo de Plesk mediante HTTP	TCP 8880
Samba (compartición de archivo en redes Windows)	UDP 137, UDP 138, TCP 139, TCP 445
Servicio VPN	UDP 1194
Servidor web	TCP 80, TCP 443
Servidor FTP	TCP 21
Servidor SSH (shell seguro)	TCP 22
Servidor SMTP (envío de correo)	TCP 25, TCP 465
Servidor POP3 (recuperación de correo)	TCP 110, TCP 995
Servidor IMAP (recuperación de correo)	TCP 143, TCP 993
Servicio de cambio de contraseña de correo	TCP 106
Servidor MySQL	TCP 3306
Servidor MS SQL	TCP 1433
Servidor PostgreSQL	TCP 5432
Conexiones al servidor de licencias	TCP 5224
Servidor de nombres de dominio (DNS)	UDP 53, TCP 53
Plesk Installer, actualizaciones principales y secundarias de Plesk	TCP 8447

Enviar página web a los buscadores para su indexación 

Para que un sitio web tenga más visitas, una vez publicado el sitio en Internet, hay que enviarlo a los buscadores para su indexación inmediata. Antes de enviar un sitio web, es conveniente optimizarlo para mejorar el posicionamiento de la web en los resultados de búsqueda. 

Procedimientos clave para la optimización del contenido:

• Incluir en el texto de las páginas web frases y palabras clave relevantes. Por ejemplo, mencionar un producto o un tema de interés, varias veces en el texto de la página web.
• Añadir palabras clave relevantes en las etiquetas "title" y "meta". Los buscadores indexan las descripciones y contenido de las "meta tags" y usan estas palabras clave para organizar que mostrar en los resultados de las búsquedas.

Por ejemplo, si vendes bicicletas de montaña:

<HEAD>
<TITLE>Venta de bicicletas de montaña
</TITLE>
<META name="keywords" content="venta,bicicleta,montaña">
<META name="description" content="Venta de bicicletas de montaña de alto rendimiento">
</HEAD>

Separar las palabras clave con una coma y sin espacios en blanco.

Una vez optimizado el sitio web y publicado, hay que enviarlo a los buscadores como Google, Yahoo, Bing, así como a cualquier otro buscador de tu interés.

• Para enviar un sitio a Google, sigue los pasos detallados en https://support.google.com/webmasters/answer/1352276
• Para enviar un sitio a Yahoo, visita http://search.yahoo.com/info/submit.html
• Para enviar un sitio a Bing, visita http://www.bing.com/toolbox/submit-site-url

 En poco tiempo tu sitio web estará indexado en los buscadores.

Actualizar servidor o instalar y desinstalar software en Linux Centos7

Cómo actualizar o instalar y desinstalar software en servidor Linux Centos7

Usted puede mantener su servidor actualizado de manera sencilla. Dependiendo de su distribución, deberá utilizar diferentes comandos.

• CentOS
• yum check-update
  yum update
  yum upgrade
  yum install
  yum remove

Ampliar espacio de particiones en Linux Centos7

 Ampliar el espacio en la unidad lógica

Aquí le mostramos cómo obtener más espacio en la unidad lógica de su servidor.

Usted puede ampliar el espacio del que dispone dentro de los límites de su hardware.

Para el ejemplo que se detalla a continuación, consideraremos que se desea ampliar el espacio de la partición /var con 4 GB actualmente, para disponer de 20 GB en la misma. Siga los pasos a continuación para ampliar el espacio en la unidad lógica.

Paso 1

Deberá acceder a su servidor mediante SSH. Recuerde que encontrará los datos de acceso dentro de su Panel de Control en la zona Datos de Acceso al Servidor.

Paso 2

Ejecute

df- h

para comprobar el tamaño de sus particiones, el resultado será similar al siguiente:

Paso 3

Ejecute un

fdisk -l

para comprobar el espacio completo en su disco y comprobar así que la partición física /dev/sda3 está configurada como Linux LVM.

Paso 4

Ejecute el comando

pvs

que le proporcionará la siguiente información:

PV: Physical Volume path VG: Volume Group name. Fmt: LVM Format
Attr: Physical volume attributes. The a attribute means that the physical volume is allocatable and not read-only. PSize: Physical Size of the physical volume. PFree: Physical Free space left on the physical volume.

Paso 5

Como indicamos al principio queremos ampliar el espacio en /var hasta disponer de 20 GB, por lo tanto incrementaremos el espacio en 16 GB con el comando lvextend.

Nota: Tenga en cuenta que se trata de un ejemplo concreto. Usted deberá adaptar los parámetros del comando a la configuración que desee realizar.

El formato del comando es como se indica:

lvextend -L +1G /dev/mapper/vg00-var

lvextend

Logical Volume Extend

-L + 16GB

Con esto especificamos el tamaño especifico que deseamos añadir a la partición de forma que resulten los 20 GB que deseamos añadir.

/dev/mapper/vg-00-var

La ruta al volumen lógico. Obtenemos esta información en el punto 1, como resultado de ejecutar df-h

Paso 6

Si ejecutamos nuevamente un

df -h

veremos que /dev/mapper/vg-00-var aun muestra los 4 GB. Esto es debido a que aunque el volumen lógico se ha ampliado, el sistema de archivos aun debe extenderse para usar todo el espacio.

Paso 7

Usaremos el comando

lvs

para mostrar la información de volumen lógico. De esta forma confirmaremos que el espacio se ha añadido correctamente y disponemos de los 20 GB deseados.

Paso 8

Ahora debemos comprobar el sistema de archivos montado en el sistema usando el comando

mount

Como podemos ver en la imagen se trata de un sistema xfs.

Paso 9

Incrementaremos el sistema de archivos para que coincida con el volumen lógico usando el comando

xfs_growfs

si utiliza xfs o el comando

resize2fs

si utiliza ext4.

Cuando escribe

xfs_growfs /var

o

resize2fs /dev/mapper/vg00-var

(dependiendo del sistema de archivos utilizado en su sistema) ampliará el sistema de archivos a 10GB de unidad lógica.

En nuestro caso usaremos xfs_growfs /var.

Paso 10

Comprobaremos nuevamente el espacio usando

df -h