En un foro que probablemente implemento mod_security y esta filtrando contenido con comandos de linux.
el problem parece estar en estas lineas, cambie el formato para ver si me deja mostrar algo…
May 21 12:21:56 localhost kernel: 201.140.53.38 sent an invalid ICMP type 3, cod
e 1 error to a broadcast: 200.56.95.255 on eth0
Eso dice en cristiano la direccion 201.140.53.38 segun whois es de Axtel
inetnum: 201.140.32/19
status: reallocated
owner: AXTEL, S.A. de C.V.
mando un paquete o muchos paquetes ICMP (Internet Control Message Protocol) de tipo 3 los tipos de mensajes icmp aqui http://www.faqs.org/docs/iptables/icmptypes.html
la explicacion de como pueden o deberian ir los paquetes icmp aqui http://www.faqs.org/docs/iptables/icmpconnections.html pero pa corto dice ahi que la direccion 201.140.53.28 mando un paquete icmp tipo 3 Host Unreachable a la dirrecion 200.46.95.255 (255-95.46.200.alianzaviva.net) a traves de eth0 si ninguna de estas maquinas es tuya (las ip) entonces es probable que te esten usando para hacer flood o algun ataque via icmp… como los icmp no requieren autentificacion como los tcp/ip se pueden crear para hacer ataques… veamos un documento bueno al respecto sobre los RFC http://www.networksorcery.com/enp/protocol/icmp/msg3.htm (pero en general si tu eth0 esta en hacia internet, no deberia aceptar trafico de ninguna maquina externa a tu red, un buen scrip como el que postee en otro lado ayudaria bastante, o con agregar a la cadena input drop tienes por ejemplo
[code]
#Rechazar icmp
iptables -A INPUT -p icmp –icmp-type 0 -j DROP
iptables -A INPUT -p icmp –icmp-type 3 -j DROP
iptables -A INPUT -p icmp –icmp-type 8 -j DROP
iptables -A INPUT -p icmp –icmp-type 11 -j DROP
[/code]
eso esta medio sospechoso por que me satura a cierto punto los log’s y el server escupe eso a cada rato, supongo que algun curioso quiere tratar de sacar algo o anda con ataques de denegacion de servicio, por consecuencia la red esta para la m…….dre. a si que quisiera saber si el genma me puede ayudar en este aspecto, ya que podria instalar algun paquete e proteccion como el denyhost, pero la verdad quizas haya otra solucion para evitarme todos estos problemas. como datos tecnicos
Las reglas de iptables de arriba evitan el flood o dos… esas son como decir si recibo esos paquetes raros los suelto… no pasan, puedes hacer otro como reject, pero eso al scanearte son nmap por ejemplo le va a decir a la otra maquina quien eres tu, el hacer drop, es mas stealth (invisible digamos), si le das DENY en lugar de drop es mas obvio que existe un firewall inux… Gunnar usa una regla curiosa –reject-with tcp-reset eso quiere decir medio deja conectado, y luego enviale un reset, con lo que en efecto se queda colgada la conexion del atacante… en otras palabras pierde mas paquetes, claro que eso ya es una discusion puramente academica, yo te recomiendo para rapido DROP, te recomiendo ampliamente su pagina de seguridad en computo http://gwolf.org/seguridad/ ahi hay muchos textos muy buenos.
eth0 es la interfas que sale a internet
cat /etc/debian_version
debian_version 3.1dpkg -s samba
Package: samba
Status: install ok installed
Priority: optional
Section: net
Installed-Size: 6328
Maintainer: Eloy A. Paris
Architecture: i386
Version: 3.0.14a-3sarge1
Sarge… muy buena distribucion estable como la $»%»$#,
more /etc/issue
Debian GNU/Linux 3.1 \n \l
uname -a
Linux avalon.redlocal 2.4.32 #1 Thu Dec 15 19:36:57 CST 2005 i586 GNU/Linux
Yo compilo mi kernel (pero mas bien como mala costumbre y para pior con la linea 2.4.x todavia, pero eso ya son manias personales)
Por ahi lei que te estaban atacando por ssh, te recomiendo que te olvides de cambiar de puerto… es mejor instalar para mas o menos llevar control de los logs logwatch integra los logs y te manda un correo diario con lo mas relevante (muy configurable tambien), y para los ataques de diccionario al ssh existe fail2ban, que tu puedes configurar para que si alguien ataca ssh y falla mas de x intentos lo banne por no se 10 minutos a 1 hora tu eliges, eso uso en mi servidores y en casa puesto que hay worms que ya atacan por diccionario automaticamente (no logran mucho, pero llenan miles y miles de logs hasta que les pones un fail2ban u otras herramientas).
apt-cache search fail2ban
fail2ban – bans IPs that cause multiple authentication errors
avalon:~# apt-cache sow fail2ban
E: Invalid operation sow
avalon:~# apt-cache show fail2ban
Package: fail2ban
Status: install ok installed
Priority: optional
Section: net
Installed-Size: 244
Maintainer: Yaroslav Halchenko
Architecture: all
Version: 0.6.0-4
Depends: python, iptables
Conffiles:
/etc/fail2ban.conf 7e7bf28556b75772be80a4d52233fc5c
/etc/logrotate.d/fail2ban 8f1a9ed1e7d748a55a860746dfb62aae
/etc/default/fail2ban ea6457456f6368300154b5a20bd2ae22
/etc/init.d/fail2ban 57bc582511fd67df6c2dd727368bfcd8
Description: bans IPs that cause multiple authentication errors
Monitors (in daemon mode) or just scans log files (e.g. /var/log/auth.log,
/var/log/apache/access.log) and temporarily bans failure-prone
addresses by updating existing firewall rules. Currently, by default,
supports ssh/apache but configuration can be easily extended for scanning
the other ASCII log files. Firewall rules are given in the config file,
thus it can be adopted to be used with a variety of firewalls (e.g. iptables,
ipfwadm).
.
Homepage: http://www.sourceforge.net/projects/fail2ban
Salu2
Gracias ya aplique las reglas necesarias, ya solo es cuestion de seguir monitoreando.
Gracias de nuevo genma.