# [log] consulta

## Theasker

Hoy consultando los logs del sistema me da por mirar /var/log/messages y veo un montón de líneas que dicen:

```
Oct 28 20:09:52 user sshd[7676]: reverse mapping checking getaddrinfo for vivio.treda.com.tr [195.87.225.72] failed - POSSIBLE BREAK-IN ATTEMPT!

```

q quiere decir esto?

----------

## Inodoro_Pereyra

Quiere decir que tu servidor SSH está corriendo y alguien intentó conectarse a el desde afuera.

El atacante se identifica a si mismo como vivio.treda.com.tr, la conexión proviene desde el número de IP 195.87.225.72 pero cuando tu sistema trata de hacer un RDNS lookup o bien ese numero de IP no corresponde a ese dominio, o bien el dominio ni siquiera existe.

Como sea, no es nada para preocuparse a menos que veas mas abajo en el log que el atacante consiguió hacer login en tu sistema después de varias pruebas.

Se puede ver quien / cuando con el comando: who

Salud!

----------

## jgascon

Siguiendo con lo dicho por Inodoro_Pereyra, para ver la última vez que un usuario se ha logueado:

```

lastlog

```

Para ver el historial de logins en el sistema:

```

who -H /var/log/wtmp | less

```

Para ver las conexiones establecidas por tu máquina:

```

netstat -tn

```

Si puedes cambia el puerto dónde escucha el ssh así te ahorrarás muchos intentos de login tontos. Si vas a tener el ssh abierto a Internet más vale que googlees un poco sobre como securizar el ssh.

----------

## Inodoro_Pereyra

Eso mismo, cuando escribí who, en realidad me refería a last. Se me cambiaron uno por otro...   :Very Happy: 

Gracias jgascon por aclarar.

Salud!

----------

## gringo

eso no tiene porque ser un ataque dicho sea de paso, simplemente está diciendo que no encuentra una rdns de ese host, lo que puede pasar con conexiones dialup p.ej. 

man sshd_config /UseDNS - creo que lo mejor es simplemente deshabilitarlo

saluetes

----------

## Theasker

dial up es con modem no?, yo no uso modem, además, esa ip es la ip fija mia del curro y a esa hora yo no estoy en el curro osea q no se quien puede ser, es un poco mosqueante

----------

## gringo

normalmente todos los usuarios "normales" tienen una ip dinámica a menos que pagues por ella, dá lo mismo que sea router o módem. 

Aunque como dices que es del curre, imagino que si tendrán ip fija y si a esa hora nadie anda por ahí, igual alguien quiere spoofear esa dirección para tratar de colarse ... sea como fuere usar dns en este tipo de situaciones me parece excesivo y sólo relantece la conexión, mas aún si los dns no son de fiar.

saluetes

----------

## Theasker

q tengo q hacer pues, para ... asegurarme bien la conexión?

Tengo instalado el denyhosts pero hoy y desde q he instalado el nxserver me está dando problemas y me bloquea esta ip siempre, asi como también el nombre de host q tengo asignado a mi ip mediante dyndns, aun no he tenido tiempo de ver q pasa, aunque viendo esto, puede causarlo también esto el bloqueo, ¿no?

----------

## kropotkin

yo para eso uso fail2ban  :Smile: 

con lo que bloqueo por 6 horas las ip con intentos fallidos de logueos por ftp, o ssh.

http://gentoo-wiki.com/HOWTO_fail2ban

----------

## Theasker

si no consigo arreglarlo probaré el q usas tu, aunque lo que no entiendo es xq me banea a mi a localhost (que lo llamo de otra forma con un "dominio" de dyndns).

al hacer un:

ssh localhost

me dice ssh_exchange_identification: Connection closed by remote host

y lo he probado desactivando el denyhosts

----------

## Theasker

a ver, explico el tama raro q me pasa:

Desde mi ordenador o desde fuera de el si hago un ssh a cualquiera de los nombres q tengo puesto en mi /etc/hosts me dice

ssh: connect to host nombredelhost port xx: Connection refused

y no consigo conectar

----------

