Ataque de fuerza bruta por SSH

¿Qué es un ataque por fuerza bruta?

Esta mañana me he dado cuenta de que se estaba llenando el filesystem /var de un servidor Linux (SFTP público) y visto que el motivo era que había crecido mucho el fichero /var/log/secure.

En este fichero se guardan los accesos por SSH que se realizan al servidor, con qué usuario y desde qué IP, así que le he echado un vistazo y me he dado cuenta de que habían muchos accesos por segundo, desde diferentes IPs y con múltiples usuarios distintos para intentar acceder al servidor con cualquiera de ellos que funcione.

Obviamente, se trata de un ataque por fuerza bruta para entrar al servidor.

[[email protected] log]# grep "Invalid user" secure |head -20
Jan 30 11:45:38 server1 sshd[29355]: Invalid user kuyil from 37.59.58.142
Jan 30 11:45:41 server1 sshd[29361]: Invalid user aafreen from 104.236.124.45
Jan 30 11:45:42 server1 sshd[29367]: Invalid user sugita from 177.54.150.70
Jan 30 11:46:01 server1 sshd[29390]: Invalid user najma from 222.41.193.211
Jan 30 11:46:08 server1 sshd[29411]: Invalid user aprajit from 65.60.182.212
Jan 30 11:46:12 server1 sshd[29416]: Invalid user devabrata from 123.207.92.254
Jan 30 11:46:13 server1 sshd[29422]: Invalid user trilochana from 35.199.154.128
Jan 30 11:46:15 server1 sshd[29426]: Invalid user shaweta from 177.54.150.70
Jan 30 11:46:44 server1 sshd[29433]: Invalid user radhavallabh from 37.59.58.142
Jan 30 11:46:45 server1 sshd[29442]: Invalid user antonia from 124.156.99.213
Jan 30 11:46:47 server1 sshd[29448]: Invalid user kavana from 177.54.150.70
Jan 30 11:46:54 server1 sshd[29460]: Invalid user sourabhi from 104.236.124.45
Jan 30 11:47:08 server1 sshd[29516]: Invalid user thshin from 222.41.193.211
Jan 30 11:47:15 server1 sshd[29526]: Invalid user yatiraja from 157.230.30.229
Jan 30 11:47:19 server1 sshd[29530]: Invalid user havish from 177.54.150.70
Jan 30 11:47:29 server1 sshd[29535]: Invalid user saumyi from 65.60.182.212
Jan 30 11:47:31 server1 sshd[29547]: Invalid user ukti from 128.199.184.196
Jan 30 11:47:42 server1 sshd[29552]: Invalid user padminish from 109.75.216.201
Jan 30 11:47:45 server1 sshd[29556]: Invalid user kehar from 35.199.154.128
Jan 30 11:47:51 server1 sshd[29565]: Invalid user meenu from 177.54.150.70
[[email protected] log]#

¿Cómo protegerse de un ataque por fuerza bruta por SSH en Linux?

En primer lugar, los firewalls de comunicaciones deberían detectar este tipo de comportamiento. Es decir, si tenemos 60 intentos fallidos de login desde una misma IP origen y en pocos segundos, pues el propio firewall debería cortar las comunicaciones desde esta IP, pero está claro que en este caso no está configurada esta opción.

Como administrador de Linux, podemos realizar varias acciones:

  • Configurar el firewall de Linux (iptables/firewalld) para cortar el tráfico por IP origen. El problema es que este tipo de ataques suelen cambiar la IP origen cada poco tiempo.
  • Configurar el fichero /etc/hosts.deny para denegar el tráfico desde esas IPs. Ejemplo
[[email protected] ~]# cat /etc/hosts.deny |grep -v "#" |grep -v ^$
ALL: 144.121.28.206, 65.60.182.212, 222.41.193.211, 35.199.154.128, 124.156.99.213, 130.185.155.34, 92.242.240.17, 104.236.124.45, 37.59.58.142, 15.206.79.57, 179.222.97.194, 88.198.90.165, 213.32.23.58, 103.8.119.166, 177.54.150.70, 128.199.184.196, 5.30.101.76, 157.230.30.229, 195.69.222.166, 41.223.142.211, 188.131.218.217, 123.207.92.254, 45.136.108.85, 117.50.1.12, 109.75.216.201, 62.227.251.138, 223.95.81.159, 180.167.137.103, 92.63.194.90, 136.49.202.36, 118.98.43.121, 103.89.90.194
[[email protected] ~]#
  • Configurar la directiva «LoginGraceTime 30» en el fichero /etc/ssh/sshd_config, para esperar 30 segundos antes de que se cierre la pantalla de login.
  • Configurar la directiva «MaxAuthTries 2» para que SSH cierre la conexión si nos equivocamos dos veces con la contraseña.
  • No permitir el acceso directo como root al servidor. Directiva «PermitRootLogin no» del fichero de configuración de SSH.
  • No permitir el acceso con contraseña, si no con claves públicas y privadas.
  • Modificar el puerto de escucha de SSH. En este caso, sería un problema, ya que es un servicio de SFTP público. En cualquier caso, si lo quieres hacer, has de cambiar el puerto en el fichero de configuración de SSH (Directiva «Port 22»).
  • Instalar un producto como fail2ban, denyhosts, sshguard o sentry, para proteger este tipo de ataques por fuerza bruta.
  • Tener el sistema operativo y sus aplicaciones actualizadas con los últimos parches de seguridad.

¿Cómo hacer un ataque por fuerza bruta?

Cuando vemos tantos intentos de login por segundo, obviamente, no se trata de una persona que esté intentando entrar a un servidor de forma manual, si no que se utilizan robots que automatizan los accesos a través de una base de datos de usuarios y contraseñas.

Fuerza Bruta a ssh con hydra desde Kali Linux

Kali Linux es una distribución Linux que trae muchas herramientas de hacking preinstaladas, pero también podemos utilizar otras muchas como, por ejemplo, estas:

  • Cain y Abel
  • THC Hydra
  • Ncrack
  • John the Ripper
  • Hashcat
  • Aircrack-Ng
  • Ophcrack
  • L0phtcrack
  • SAMInside
  • Rainbow crack

¿Cuál es el objetivo de un ataque por fuerza bruta?

El objetivo no es otro que el de acceder a un servidor con el usuario administrador o un usuario sin privilegios que luego podríamos utilizar para adueñarnos del servidor si encontramos algún agujero de seguridad o lanzar algún proceso que no necesite ser administrador.

Las intenciones del atacante pueden ser múltiples:

  • El propio administrador de seguridad quiere probar su sistema.
  • Un hacker con malas intenciones busca secuestrar el servidor y pedir dinero.
  • Robar datos sensibles.
  • Minar criptomonedas.
  • Almacenar datos.
  • Tumbar el sistema informático de un servicio importante o de la competencia.

Pueden ser cientos.

Te puede interesar

¿Te ha gustado? ¡Compártelo!

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on email

Portátiles

Rebajas
Lenovo S145-15AST - Ordenador portátil 15.6" FullHD (AMD A9-9425, 8GB de RAM, 512GB SSD,...
  • Pantalla de 15,6"fullhd 1920x1080 pixeles
  • Procesador amd a9-9425, dualcore 3.1ghz hasta 3.7ghz, 1m
  • Memoria ram de 8gddr4, 2133mhz
Lenovo S145-15AST - Ordenador portátil 15.6" FullHD (AMD A6-9225, 8GB de RAM, 256GB SSD,...
  • Pantalla de 15,6"FullHD 1920x1080 pixeles
  • Procesador AMD A6, DualCore 3.1GHz hasta 3.7GHz, 1MB
  • Memoria RAM de 8GB DDR4, 2133Mhz
Rebajas
Acer A315-54K - Ordenador portátil de 15.6" HD (Intel Core i3-7020U, 8GB de RAM, 256GB...
  • Pantalla de 15.6", HD (1366x768 pixels)
  • Procesador intel core i3-7020u (2 núcleos, 3MB cache, hasta 2.3 GHz)
  • Memoria RAM de 8GB DDR4, 2133 MHz
Lenovo S145-15AST - Ordenador portátil 15.6" FullHD (AMD A6-9225, 8GB de RAM, 256 SSD,...
  • Pantalla de 15,6"fullhd 1920x1080 pixeles
  • Procesador amd a6-9225, dualcore 2.6ghz hasta 3ghz, 1mb
  • Memoria ram de 8gb ddr4, 2133mhz

Monitores PC

Rebajas
HP 22w - Monitor 21.5" (Full HD, 1920 x 1080 pixeles, tiempo de respuesta de 5 ms, 1 x...
  • Regálale a tu escritorio un toque de elegancia
  • Esta pantalla IPS de 53.61 cm (21,5 pulgadas) en diagonal dispone de 178 ángulos de visualización para ofrecer una experiencia de entretenimiento...
  • Con los puertos VGA y HDMI, esta pantalla hace que conectar tu ordenador portátil o pc de sobremesa sea una tarea sencilla y fluida
Rebajas
Samsung LC24F390FHU - Monitor para PC Desktop de 24'' (1920 x 1080 pixeles, Full HD, HD...
  • Pantalla de 24 pulgadas con una resolución de 1920 x 1080 píxeles
  • Brillo de pantalla: 250 cd / m²
  • Interfaz de montaje VESA 75 x 75 mm
Rebajas
BenQ GW2470HL - Monitor para PC Desktop de 23.8" Full HD (1920x1080, VA, 16:9, 2x HDMI,...
  • Los niveles ajustables de baja luz azul eliminan la luz azul peligrosa y mantienen la luz beneficiosa para una comodidad de visualización prolongada
  • Disfruta de gráficos nítidos con una resolución de 1920 x 1080
  • Minimiza las distracciones y crea una configuración de varios paneles con monitores de bisel estrecho

Discos Externos

Toshiba Canvio Basics, Disco Duro, 1, Negro
  • Disco duro externo de 2.5"
  • Acabado mate
  • Puerto superspeed usb 3.0
WD Elements - Disco duro externo portátil de 2 TB con USB 3.0, color negro
  • Capacidad de almacenamiento de 2 TB
  • Conexión USB 3.0 y compatibilidad con versiones anteriores de dispositivos USB 2.4
  • Compatibilidad: con formato NTFS para Windows 10, Windows 8.1 o Windows 7. Puede requerir reformatear para otros sistemas operativos. El nivel de...
WD Elements - Disco duro externo portátil de 3 TB con USB 3.0, color negro
  • Conexión USB 3.0 y compatibilidad con versiones anteriores de dispositivos USB 2.5
  • Diseñado para ordenadores con sistema operativo Windows, formatable para Mac

También te puede gustar

Tutorial de fail2ban

Tabla de contenidos1 ¿Qué es fail2ban?2 Instalar fail2ban en Linux Centos 73 Configuración de fail2ban3.1 Protección de servicios concretos4 Logs

Leer más »

Deja un comentario

About Author