{"id":292,"date":"2006-05-28T22:47:30","date_gmt":"2006-05-28T22:47:30","guid":{"rendered":"http:\/\/blografia.net\/vicm3\/?p=292"},"modified":"2006-05-28T22:47:30","modified_gmt":"2006-05-28T22:47:30","slug":"respuesta_a_un_post","status":"publish","type":"post","link":"https:\/\/blografia.net\/vicm3\/2006\/05\/respuesta_a_un_post\/","title":{"rendered":"Respuesta a un post"},"content":{"rendered":"

En un foro que probablemente implemento mod_security y esta filtrando contenido con comandos de linux.<\/p>\n

el problem parece estar en estas lineas, cambie el formato para ver si me deja mostrar algo…
\nMay 21 12:21:56 localhost kernel: 201.140.53.38 sent an invalid ICMP type 3, cod
\ne 1 error to a broadcast: 200.56.95.255 on eth0\n<\/p><\/blockquote>\n

Eso dice en cristiano la direccion 201.140.53.38 segun whois es de Axtel
\ninetnum: 201.140.32\/19
\nstatus: reallocated
\nowner: AXTEL, S.A. de C.V.<\/p>\n

mando un paquete o muchos paquetes ICMP (Internet Control Message Protocol) de tipo 3 los tipos de mensajes icmp aqui http:\/\/www.faqs.org\/docs\/iptables\/icmptypes.html
\nla explicacion de como pueden o deberian ir los paquetes icmp aqui http:\/\/www.faqs.org\/docs\/iptables\/icmpconnections.html pero pa corto dice ahi que la direccion 201.140.53.28 mando un paquete icmp tipo 3 Host Unreachable a la dirrecion 200.46.95.255 (255-95.46.200.alianzaviva.net) a traves de eth0 si ninguna de estas maquinas es tuya (las ip) entonces es probable que te esten usando para hacer flood o algun ataque via icmp… como los icmp no requieren autentificacion como los tcp\/ip se pueden crear para hacer ataques… veamos un documento bueno al respecto sobre los RFC http:\/\/www.networksorcery.com\/enp\/protocol\/icmp\/msg3.htm (pero en general si tu eth0 esta en hacia internet, no deberia aceptar trafico de ninguna maquina externa a tu red, un buen scrip como el que postee en otro lado ayudaria bastante, o con agregar a la cadena input drop tienes por ejemplo
\n[code]
\n#Rechazar icmp
\n iptables -A INPUT -p icmp –icmp-type 0 -j DROP
\n iptables -A INPUT -p icmp –icmp-type 3 -j DROP
\n iptables -A INPUT -p icmp –icmp-type 8 -j DROP
\n iptables -A INPUT -p icmp –icmp-type 11 -j DROP
\n[\/code]<\/p>\n

\neso esta medio sospechoso por que me satura a cierto punto los log’s y el server escupe eso a cada rato, supongo que algun curioso quiere tratar de sacar algo o anda con ataques de denegacion de servicio, por consecuencia la red esta para la m…….dre. a si que quisiera saber si el genma me puede ayudar en este aspecto, ya que podria instalar algun paquete e proteccion como el denyhost, pero la verdad quizas haya otra solucion para evitarme todos estos problemas. como datos tecnicos\n<\/p><\/blockquote>\n

Las reglas de iptables de arriba evitan el flood o dos… esas son como decir si recibo esos paquetes raros los suelto… no pasan, puedes hacer otro como reject, pero eso al scanearte son nmap por ejemplo le va a decir a la otra maquina quien eres tu, el hacer drop, es mas stealth (invisible digamos), si le das DENY en lugar de drop es mas obvio que existe un firewall inux… Gunnar usa una regla curiosa –reject-with tcp-reset eso quiere decir medio deja conectado, y luego enviale un reset, con lo que en efecto se queda colgada la conexion del atacante… en otras palabras pierde mas paquetes, claro que eso ya es una discusion puramente academica, yo te recomiendo para rapido DROP, te recomiendo ampliamente su pagina de seguridad en computo http:\/\/gwolf.org\/seguridad\/ ahi hay muchos textos muy buenos.<\/p>\n

eth0 es la interfas que sale a internet<\/p>\n

\ncat \/etc\/debian_version
\ndebian_version 3.1<\/p>\n

dpkg -s samba
\nPackage: samba
\nStatus: install ok installed
\nPriority: optional
\nSection: net
\nInstalled-Size: 6328
\nMaintainer: Eloy A. Paris
\nArchitecture: i386
\nVersion: 3.0.14a-3sarge1\n<\/p><\/blockquote>\n

Sarge… muy buena distribucion estable como la $\u00bb%\u00bb$#,
\nmore \/etc\/issue
\nDebian GNU\/Linux 3.1 \\n \\l
\nuname -a
\nLinux avalon.redlocal 2.4.32 #1 Thu Dec 15 19:36:57 CST 2005 i586 GNU\/Linux
\nYo compilo mi kernel (pero mas bien como mala costumbre y para pior con la linea 2.4.x todavia, pero eso ya son manias personales)<\/p>\n

Por ahi lei que te estaban atacando por ssh, te recomiendo que te olvides de cambiar de puerto… es mejor instalar para mas o menos llevar control de los logs logwatch integra los logs y te manda un correo diario con lo mas relevante (muy configurable tambien), y para los ataques de diccionario al ssh existe fail2ban, que tu puedes configurar para que si alguien ataca ssh y falla mas de x intentos lo banne por no se 10 minutos a 1 hora tu eliges, eso uso en mi servidores y en casa puesto que hay worms que ya atacan por diccionario automaticamente (no logran mucho, pero llenan miles y miles de logs hasta que les pones un fail2ban u otras herramientas).<\/p>\n

apt-cache search fail2ban
\nfail2ban – bans IPs that cause multiple authentication errors
\navalon:~# apt-cache sow fail2ban
\nE: Invalid operation sow
\navalon:~# apt-cache show fail2ban
\nPackage: fail2ban
\nStatus: install ok installed
\nPriority: optional
\nSection: net
\nInstalled-Size: 244
\nMaintainer: Yaroslav Halchenko
\nArchitecture: all
\nVersion: 0.6.0-4
\nDepends: python, iptables
\nConffiles:
\n \/etc\/fail2ban.conf 7e7bf28556b75772be80a4d52233fc5c
\n \/etc\/logrotate.d\/fail2ban 8f1a9ed1e7d748a55a860746dfb62aae
\n \/etc\/default\/fail2ban ea6457456f6368300154b5a20bd2ae22
\n \/etc\/init.d\/fail2ban 57bc582511fd67df6c2dd727368bfcd8
\nDescription: bans IPs that cause multiple authentication errors
\n Monitors (in daemon mode) or just scans log files (e.g. \/var\/log\/auth.log,
\n \/var\/log\/apache\/access.log) and temporarily bans failure-prone
\n addresses by updating existing firewall rules. Currently, by default,
\n supports ssh\/apache but configuration can be easily extended for scanning
\n the other ASCII log files. Firewall rules are given in the config file,
\n thus it can be adopted to be used with a variety of firewalls (e.g. iptables,
\n ipfwadm).
\n .
\n Homepage: http:\/\/www.sourceforge.net\/projects\/fail2ban<\/p>\n

Salu2<\/p>\n","protected":false},"excerpt":{"rendered":"

En un foro que probablemente implemento mod_security y esta filtrando contenido con comandos de linux. el problem parece estar en estas lineas, cambie el formato para ver si me deja mostrar algo… May 21 12:21:56 localhost kernel: 201.140.53.38 sent an … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"jetpack_post_was_ever_published":false},"categories":[1],"tags":[],"class_list":["post-292","post","type-post","status-publish","format-standard","hentry","category-sin-categoria"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack-related-posts":[{"id":1496,"url":"https:\/\/blografia.net\/vicm3\/2015\/10\/cronica-de-una-muerte-anunciada-continuada\/","url_meta":{"origin":292,"position":0},"title":"Cr\u00f3nica de una muerte anunciada, continuada","author":"vicm3","date":"27 octubre, 2015","format":false,"excerpt":"En la entrada anterior en el mismo canal y no a la misma hora, escrib\u00ed de como al parecer el modem technicolor 582n al quitarle carga de al CPU, con lo de las sesiones de wifi parec\u00eda funcionar mejor y lo hizo, unos quince d\u00edas, despu\u00e9s de eso regreso a\u2026","rel":"","context":"En \u00abDebraye\u00bb","block_context":{"text":"Debraye","link":"https:\/\/blografia.net\/vicm3\/category\/debraye\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":860,"url":"https:\/\/blografia.net\/vicm3\/2012\/03\/sobre-paquetes-y-sigue-la-mata-dando\/","url_meta":{"origin":292,"position":1},"title":"Sobre paquetes, y sigue la mata dando","author":"vicm3","date":"1 marzo, 2012","format":false,"excerpt":"Bueno en efecto me cambie de paquete al m\u00e1s b\u00e1sico, me llego el cobro de 394 pesos a\u00fan cuando en la p\u00e1gina dice que son 389 con todo e impuestos, sin embargo como a\u00fan no tengo el recibo en papel y a\u00fan no esta en su p\u00e1gina pudiera ser que\u2026","rel":"","context":"En \u00abEducaci\u00f3n\u00bb","block_context":{"text":"Educaci\u00f3n","link":"https:\/\/blografia.net\/vicm3\/category\/educacion\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":562,"url":"https:\/\/blografia.net\/vicm3\/2008\/07\/donde-esta\/","url_meta":{"origin":292,"position":2},"title":"Donde esta…","author":"vicm3","date":"1 julio, 2008","format":false,"excerpt":"\u00bfWally?, no, donde ando, !bueno termine el semestre! eso en si ya es una buena noticia, de como me fue, eso si es motivo de otra entrada y de que a la fecha a ciencia cierta no lo se, es bien probable que no como yo hubiera querido, pero de\u2026","rel":"","context":"En \u00abSin categor\u00eda\u00bb","block_context":{"text":"Sin categor\u00eda","link":"https:\/\/blografia.net\/vicm3\/category\/sin-categoria\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":736,"url":"https:\/\/blografia.net\/vicm3\/2010\/07\/debian-way-or-the-hard-way\/","url_meta":{"origin":292,"position":3},"title":"Debian way or the hard way?","author":"vicm3","date":"20 julio, 2010","format":false,"excerpt":"Si p\u00e9simo en ingles el titulo y el texto en espa\u00f1ol, pues nada, que ahora que anunciaron el 1.8.12[1] de la serie 1.8 de Moodle, revise y tenia algunos de 1.8.11[2] que aun no se hac\u00edan backport al paquete de Debian, me puse a darle al mismo, llene algunos reportes\u2026","rel":"","context":"En \u00abSin categor\u00eda\u00bb","block_context":{"text":"Sin categor\u00eda","link":"https:\/\/blografia.net\/vicm3\/category\/sin-categoria\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":1344,"url":"https:\/\/blografia.net\/vicm3\/2014\/07\/cobertura\/","url_meta":{"origin":292,"position":4},"title":"Cobertura","author":"vicm3","date":"16 julio, 2014","format":false,"excerpt":"De banda ancha... Que dicen que no hay monopolios, bueno durante mucho tiempo aqu\u00ed fue solo territorio Telmex, cable finalmente hace unos 5 a\u00f1os logro meter red bidireccional, y han estado a\u00f1adiendo fibra. Por curiosidad le puse a la cobertura de TotalPlay Y pues sigue siendo muy lejana la zona\u2026","rel":"","context":"En \u00abDebraye\u00bb","block_context":{"text":"Debraye","link":"https:\/\/blografia.net\/vicm3\/category\/debraye\/"},"img":{"alt_text":"coberturatotalplayjulio152014","src":"https:\/\/i0.wp.com\/blografia.net\/vicm3\/wp-content\/uploads\/2014\/07\/coberturatotalplayjulio152014.jpg?resize=350%2C200","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/blografia.net\/vicm3\/wp-content\/uploads\/2014\/07\/coberturatotalplayjulio152014.jpg?resize=350%2C200 1x, https:\/\/i0.wp.com\/blografia.net\/vicm3\/wp-content\/uploads\/2014\/07\/coberturatotalplayjulio152014.jpg?resize=525%2C300 1.5x, https:\/\/i0.wp.com\/blografia.net\/vicm3\/wp-content\/uploads\/2014\/07\/coberturatotalplayjulio152014.jpg?resize=700%2C400 2x"},"classes":[]},{"id":340,"url":"https:\/\/blografia.net\/vicm3\/2006\/08\/s_mexpost\/","url_meta":{"origin":292,"position":5},"title":"S\u00ed mexpost…","author":"vicm3","date":"23 agosto, 2006","format":false,"excerpt":"Ha demostrado que se tarda en enviar paquetes y toda una lindura de cosas... aqu\u00ed va una historia aun mejor y que me paso justo el d\u00eda de ayer. Como dec\u00eda el d\u00eda de ayer mientras limpiaban el cub\u00edculo (que tenia desde que regresamos de vacaciones que no limpiaban dicho\u2026","rel":"","context":"En \u00abDebraye\u00bb","block_context":{"text":"Debraye","link":"https:\/\/blografia.net\/vicm3\/category\/debraye\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]}],"_links":{"self":[{"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/posts\/292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/comments?post=292"}],"version-history":[{"count":0,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/posts\/292\/revisions"}],"wp:attachment":[{"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/media?parent=292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/categories?post=292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blografia.net\/vicm3\/wp-json\/wp\/v2\/tags?post=292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}