Foro

Avatar de chemag
chemag
Yo probé el VDSL
28-10-2020
Resuelto

Ataques SSH, puerto 22, a través del router

Estos días atrás he estado sufriendo una oleada de ataques via SSH, puerto 22, a un servidor NAS en mi red interna.

 

Cuando empezó, tenía redirigidos unos puertos externos a los puertos 21, 22.

Tan pronto como advertí el ataque, desabilité el redireccionamiento a esos puertos en el router.

 

El problema, y mi pregunta es ¿Como puede ser que estando desabilitado el redireccionamiento a los puertos 22 y 21, continuasen llegando los intentos al servidor, según se puede constatar en el log del servidor?

 

He hecho un primer intento de soporte a través de nemesys, enviandoles extracto de los log, pero para el tema de como puede ser que las llamadas SSH pasasen a través del router, me remiten a que plantee el problema en el foro de soporte técnico.

Eso hago.

 

El hilo al que hago referencia es https://comunidad.movistar.es/t5/Spam-Hacking-Centro-N%C3%A9mesys/Ataques-via-SSH/m-p/4309776

 

Si necesitán una ampliación de información, por favor, haganmelo saber.

 

Un saludo.

 

 

 

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    06-02-2021

    Hola chemag

     

    Nos alegramos que la información facilitada por Theliel (a quien reiteramos nuestro agradecimiento por su colaboración) te haya servido de ayuda. Por nuestra parte cerramos el hilo. Si te volviera a surgir, esta u otra incidencia o duda, confirmalo en un nuevo hilo y te atenderemos encantados.


    Un saludo.


    Fernando.

38 Respuestas

Las respuestas se han desactivado para esta discusión
Mostrar más
  • Avatar de chemag
    chemag
    Yo probé el VDSL
    29-01-2021

    Theliel 

    Te envío un mensaje privado.

    Si te es útil te envío mi lista de IPs atacantes, pero por lo que cuentas ya las tendrás incluidas.

    De todos modos, se la envié a Memesis por si les es de utilidad.

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    28-01-2021

    Buenas chemag 

     

    En realidad es tremendamente sencillo solucionar/estudiar tu caso.

     

    -Primero y principal sería, que Router (marca y modelo) tienes instalado.

    -Lo segundo, cuando tenías en su día redirección al puerto 22 del servidor interno, era una redirección 22->22 o XXXX > 22?

    -Has reseteado el Router?

     

    El ruído de fondo en Internet es enorme, cualquier puerto expuesto al exterior, en cuanto pasen unos días va a estar siendo bombardeado por todo tipo de botnes para busca puertos abiertos, viulnerabilidades y otros. Obviamente renovando la IP esto cesa, un tiempo. Registro por seguridad todas las conexiones a puertos sensibles aun cuando no los uso, y llevo creando desde hace años un listado propio de IPs y rangos IPs de redes bot, que simplemente añado a un script en mi Router para bloquear todo lo que vengan de ellas. Pero el ruído es siempre enorme, y más repito si es un puerto "sensible". Para que te hagas una idea:

     

    Theliel@Avalon:/tmp/home/root# iptables -nvL INPUT
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target prot opt in out source destination
    3309 143K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 match-set blacklist src

     

    Algo más de 3300 paquetes bloqueados en algo más de un día que reinicié el Router, y es en INPUT, es decir, intentos de dichas IPs de acceder a algo. Si diesen con algún puerto en concreto, pasaría a la cadena FORWARD, y una vez detectado en vez de 3300 se podrían contar por cientos o miles de veces más.

     

  • Avatar de chemag
    chemag
    Yo probé el VDSL
    28-01-2021

    Técnico-Movistar 

     

    No. Como os decía en un  mensaje anterior, el último ataque se produjo a las

    06:55. Desde entonces no he tenido caonstancia de ningún otro ataque.

     

    Si me podeis decir, via mensaje privado cual ha sido vuestra actuación sobre el router, os lo agradeceria. Me gustaría tenerla en cuanta en caso de reseteo.

     

    Gracias.

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    28-01-2021

    Hola chemag.

     

    Te pedimos disculpas por las molestias ocasionadas. ¿Podrías confirmarnos si has tenido más ataques desde que se actualizaron los datos de la línea, por favor? Esperamos tu respuesta.

     

    Un saludo. 

     

    Angela.

  • Avatar de chemag
    chemag
    Yo probé el VDSL
    26-01-2021

    Técnico-Movistar 

    Por delante, gracias por el interés.

     

    Las últimas entradas que tengo en el fichero log, al respecto, corresponden a las 06:55 de hoy.

    -----------------------------------

    26/01/2021 6:55 hjx User [hjx] from [177.10.203.124] failed to log in via [SSH] due to authorization failure.
    26/01/2021 6:55 zhuyi User [zhuyi] from [177.10.203.124] failed to log in via [SSH] due to authorization failure.
    26/01/2021 6:47 yarn User [yarn] from [87.26.3.40] failed to log in via [SSH] due to authorization failure.
    26/01/2021 6:47 cang User [cang] from [87.26.3.40] failed to log in via [SSH] due to authorization failure.

    ----------------------------------------------------------------

    Antes hay 915 entradas mas. Desde las 25/01/2021 10:35.

     

    Observo un cambio de la IP publica , que no he provocado yo, hoy a las 16:31. Supongo que estará relacionada con vuestra actuación.

     

    He enviado una copia de todos logs a Nemesis, por si les puede ser de interés.

     

    Por experiencias anteriores, supongo que al cambiar la IP, cesarán los ataques por un tiempo.

     

    Yo puedo hacer que cesen las notificaciones cerrando el puerto, ya que actualmente no lo uso, pero creo que se estaría enmascarando un problema de seguridad. Por eso lo he dejado abierto, y lo superviso.

     

    Si necesitais alguna información mas, decirmelo.

     

    Un saludo.

     

     

     

     

     

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    26-01-2021

    Buenas tardes chemag

     

    Lamentamos que haya vuelto  a persistir, técnicamente el estado de la línea nos consta correcto, hemos efectuado una actualización del servicio, cuando tengas la posibilidad comprueba que no vuelva a ocurrir.

     

    Quedamos a la espera de tu respuesta.

     

    Un saludo 

     

    Victoria 

  • Avatar de chemag
    chemag
    Yo probé el VDSL
    25-01-2021

    Técnico-Movistar 

     

    Se me vuelven a repetir los ataques al puerto 22.

    Si le vais a dedicar atención, dejo la situación para que le echeis una ojeada a router y comprobeis, que según la configuración de los puertos, no deberian pasar esos intentos.

     

    Si os lo vais a tomar con la calma de la vez anterior, decirmelo, y enciendo y apago el router para que cambie de IP externa. Acabamos antes, y desaparece, momentaneamente las molestias, y hasta la próxima vez.

     

    Si necesitais algun dato, decirmelo.

     

    Un saludo

     

     

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    19-11-2020

    Hola chemag

     

    Lamentamos no haber podio darte más información en este caso, en todo caso agradecemos tu aportación que sin duda es muy relevante para el conjunto de la Comunidad por la información que aporta. En cualquier caso estamos a tú disposición para tratar de ayudarte ante cualquier duda o incidencia que pueda surgir.

     

    Un saludo.

     

    Fernando.

  • Avatar de chemag
    chemag
    Yo probé el VDSL
    19-11-2020

    Técnico-Movistar 

     

    Por puntos.

    Totalmente de acuerdo en que no deberia de pasar estando la regla desactivada.

     

    ¿Cual es o ha sido el problema? Completamente de acuerdo en que ahora, después de resetear, a fabrica, el router y volverlo a configurar no se puede hacer nada.

     

    Se debería haber investigado antes de resetear. Seguramente, se asumió que debia ser un problema de ignorancia o mala actuación por mi parte, y no se le prestó atención o diligencia, o simple falta de tiempo y medios. Todo es posible.

     

    Observando, evaluando y expeculando sobre los hechos conocidos para aprender ante otra incidecia de este tipo,

     

    Posibilidad 1. Un equipo, de dentro de mi red infectado,

       Simplemente por la topologia de la red, un pc permanente, otro ocasional, servidores NAS, y uno o varios móviles, no parece propio, desde mi punto de vista, sobre todo que el ataque se realize al servidor NAS que referencia la regla, que se trate de un virus / infeción interna, aunque es posible, desde mi punto de vista, remoto.

     

    Posibilidad 2. Problema en el router.

     2a. Mala configuración de la regla. Solo tenéis mi palabra y la confianza en mi conocimiento. La regla, al menos visiblemente, estaba / está bien, y la desactivé en cuando detecté el ataque. Dejasteis escapar la posibilidad de comprobarlo por vosotros mismos. Si no pudisteis entrar en remoto, que era mi intención, podíais haber pedido o bien el password o bien un pantallazo, bien un volcado de router. Entiendo que centraisteis el foco, en la idea que era un problema mio, y que nos quitamos el problema de enmedio cuanto antes, que hay otros problemas mas importantes pendientes.

     

    2b. El problema desapareció al encender y apagar el router. Estó indica, de mi punto de vista, que el problema estaba en el router y en la IP. Si hubiese sido un problema de infeción interna, el problema hubiese continuado o hubiese sido un problema con otras reglas, que tampoco hubiesen funcionado bien y aun sería peor.

     

    2.c Como posibilidad, remota pero no descartable, la regla dice que está desabilitada, pero continua operativa. Me parece la que tiene mas posibilidad desde mi punto de vista, pero no soy experto en seguridad y menos en este router, y seguramente coincido con vosotros, que es dificil de asumir, pero los hecho estaban ahí

     

    En fin, si se por experiencia, que para localizar o acotar problemas, hay que ir recogiendo y acumulando datos, para la siguiente vez, si no se resuelve o acaba de comprender, no partir de cero.

     

    ¿Problemas?, no me ha ocasionado graves problemas, si molestias. Yo por mi parte he aprendido algo, y, para compartir comocimiento, le planteé el problema, al fabricante del NAS, de como podia ser que el NAS siguiese informando de los intentos de conexión cuando yo habia desactivado el servicio SSH en cuanto se me informó de los intentos de conexión.

    Me contestó, que además del SSH, habia otros procesos que también podrían hacian uso del puerto 22. Uno de los cuales seguía activado. En cuanto desabilité ese proceso, el NAS dejó de informame de los intentos fallidos de conexión.

     

    ¡¡¡Menudo discurso!!!

    En fin, cerrar el tema, que no da mas de si.

    Un saludo, y que todo vaya bien.

     

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    18-11-2020

    Hola chemag

     

    En cuando a la consulta que nos planteas, según nos comentan en caso de que la regla esté desactivada, no tendría que pasar. Si pasó, lo que nosotros no tenemos forma de poder comprobarlo, se deba a alguna configuración que hayas podido realizar o bien un problema de seguridad de algún equipo afectado por algún virus en la red privada. 

     

    Aunque hayan cesado los ataques, la recomendación sería resetear el router de fábrica y configurar el router de cero. 

     

    De nuevo, sentimos mucho estos problemas que estás teniendo. 

     

    Un saludo

     

    Griselda