[eside-ghost] Intento de ataque a mi SSH

[zgor]

Josetxu Malanda wrote:

>Kaixo Malkavian,
>
>El domingo, 19 de junio de 2005 a las 23:28:58, Malkavian escribió
>sobre "Re: [eside-ghost] Intento de ataque a mi SSH":
>
>[knockd]
>  
>
>>Pero yo me pierdo en como se hacen esas peticiones a esos puertos... La web 
>>habla de que incluso se pueden hacer con un simple telnet. Entiendo, pero no 
>>toy seguro, que con sólo iniciar y cancelar una conexión a esos puertos ya 
>>vale, por tanto unos telnets a los puertos correspondientes y ya ta, se 
>>ejecutará el comando especificado...
>>    
>>
>
>  
>
Si,  aunque yo usaria mejor netcat  / sendip / packit / hping2 / etc 
...  La verdad es que hace tiempo me raye mucho con telnet haciendo 
alguna historieta, te puede jugar malas pasadas con el tema de la 
negociacion y tal (ojos que no ven no significa paquetes que no se 
sientan XDDD), ademas netcat es mas scriptable

>Efectivamente así es. El knockd es un demonio parecido a inetd. Lo que
>pasa que cuando llamas a un puerto en vez de abrirlo, mira si forma
>parte de una secuencia que tú le has configurado y espera que se cumpla
>esa secuencia para ejecutar el comando especificado.
>
>Obviamente los puertos a los que tú llamas no deben estar filtrados por
>IPTABLES; que si no, no le llegan al demonio knockd. ;)
>
>  
>
Creo recordar que el tema tira snifando (libpcap), (no hace 
bind->listens a toda la secuencia de puertos), por lo tanto 
independientemente de que tengas netfilter  filtrando te deberia 
funcionar bien (salvo logicamente que este en un hop anterior)




suerte!