Una de las primeras acciones a ejecutar en un servidor web con el fin de prevenir ataques SSH es cambiar el puerto por defecto de este servicio. Pues es común que robots estén haciendo cientos de peticiones por minuto, intercambiando un sinnúmero de usuarios y claves. Para ello se puede hacer lo siguiente (para un CentOS 5):

• Abrir el archivo de configuración del servicio SSH en modo edición. Por lo general este fichero está en /etc/ssh/sshd_config
• Una vez ahí veremos algo como lo siguiente en la parte superior del fichero:

Port 22
#Protocol 2,1
Protocol 2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

Lo que haremos será cambiar el puerto a un número mayor a 1024, así:

Port 3548
...

• Reiniciar el servicio ssh, lo pueden hacer a través de:

service sshd restart

• Para asegurarnos que los cambios fueron hechos correctamente, nos puede servir el siguiente comando, cuyo resultado debe ser que está en estado de LISTEN. Pueden luego cerrar la sesión actual y conectarse a través del nuevo puerto fijado.

netstat -an | grep 3548

Saludos.

A continuación comparto una pequeña lista de logs que nos puede ayudar mucho a la hora de sufrir problemas en un servidor web, y poder así detectar el origen de un determinado problema. El OS del servidor es CentOS 5.3.

/var/log/messages

Información general de lo que sucede en el servidor, peticiones http, carga/descarga de ficheros, resolución de nombres de dominio, etc.

/var/log/dmesg

dmesg lo que hace es leer del llamado ‘kernel ring buffer’ y tomar un snapshot del inicio del sistema.

/usr/local/apache/logs/error_log

Peticiones al servidor apache e información detallada con fechas sobre errores al cargar archivos de un determinado sitio web, se indica además la IP del cliente. Si hay sobrecarga de peticiones, en este log es posible verlo. En este punto, puede darse el caso de problemas relacionados a la variable MaxClients, para ello, se puede usar otro comando que nos permite ver con exactitud el origen de esas peticiones mostrándonos sus IPs, el comando es:

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n

/usr/local/cpanel/logs/error_log

Errores relativos al cPanel, por lo general indica en qué línea de un determinado script .pl existe un error.

/var/log/secure

Si hay un posible ataque SSH es de vital importancia revisar este log, que nos permite ubicar las IPs de los clientes que intentan ingresar al servidor y tomar así oportunas acciones.

Esperando les sirva de mucha ayuda les envío un gran saludo.

La herramienta Fantastico De Luxe ha sido actualizada a la última versión, los scripts de instalación actualizados son los siguientes:

• Drupal: 6.9 -> 6.10
• Joomla 1.5: 1.5.9 -> 1.5.10
• Open-Realty: 2.5.3 -> 2.5.6
• TikiWiki: 2.2 -> 2.4
• WebCalendar: 1.0.5 -> 1.2.0

Saludos.