Solucion Seguridad SSH

aigor1 · 1 Abr 2017

Hola a todos

TEngo siempre instalada la última versión de openspa y cambiada la contraseña por defecto.
Instale hoy la ultima version y despues de estar viendo un rato la tv con el deco me aparece un mensaje tipo pop up abajo a la derecha diciendo que se establecio una conexión ssh con una ip 74.208.xxx.xx y otra mas que me salio.

Quisiera saber si esta funcionalidad es nueva o es que estoy siendo atacado por ssh.

Muchas gracias

evox · 1 Abr 2017

aigor1 dijo:
Hola a todos

TEngo siempre instalada la última versión de openspa y cambiada la contraseña por defecto.
Instale hoy la ultima version y despues de estar viendo un rato la tv con el deco me aparece un mensaje tipo pop up abajo a la derecha diciendo que se establecio una conexión ssh con una ip 74.208.xxx.xx y otra mas que me salio.

Quisiera saber si esta funcionalidad es nueva o es que estoy siendo atacado por ssh.

Muchas gracias

https://openspa.info/threads/novedad-openspa-7-0-004-notificaciones.40254/

Salu2.

aigor1 · 1 Abr 2017

Gracias por tu respuesta.

Estoy siendo atacado incluso con mi contraseña cambiada... si me podeis ayudar

01/04/17 22:53:09 [Ssh][22] conectado desde 86.215.206.10x
01/04/17 22:53:40 [Ssh][22] desconectado desde 86.215.206.10x
01/04/17 22:53:40 [Telnet][23] desconectado desde 78.67.8.xxx
01/04/17 22:55:10 [Telnet][23] esperando desde 109.87.128.xx
01/04/17 22:55:40 [Ssh][22] conectado desde 91.197.232.xx
01/04/17 22:56:10 [Telnet][23] desconectado desde 109.87.128.xx
01/04/17 22:57:23 Iniciando Plugin
01/04/17 23:00:23 [Telnet][23] esperando desde 114.235.60.xx
01/04/17 23:01:23 [Telnet][23] desconectado desde 114.235.60.xx

evox · 1 Abr 2017

aigor1 dijo:
Gracias por tu respuesta.

Estoy siendo atacado incluso con mi contraseña cambiada... si me podeis ayudar

01/04/17 22:53:09 [Ssh][22] conectado desde 86.215.206.10x
01/04/17 22:53:40 [Ssh][22] desconectado desde 86.215.206.10x
01/04/17 22:53:40 [Telnet][23] desconectado desde 78.67.8.xxx
01/04/17 22:55:10 [Telnet][23] esperando desde 109.87.128.xx
01/04/17 22:55:40 [Ssh][22] conectado desde 91.197.232.xx
01/04/17 22:56:10 [Telnet][23] desconectado desde 109.87.128.xx
01/04/17 22:57:23 Iniciando Plugin
01/04/17 23:00:23 [Telnet][23] esperando desde 114.235.60.xx
01/04/17 23:01:23 [Telnet][23] desconectado desde 114.235.60.xx

Cierra esos puertos en el router y presentate en el foro como es menester, ultimo aviso o elimino el hilo.

Salu2.

aigor1 · 1 Abr 2017

Gracias.

Ya me presente, perdón.

Tengo el router de Vomistar HGW-2501GN y revise toda la configuración y no veo puerto 22 y 23 abierto ni uPnp...

De todas formas, tuvieron que entrar con mi contraseña... no es así? ya la volvi a cambiar.

Un saludo y gracias

darkmantk · 1 Abr 2017

No han tenido porque entrar, como explica morser en ocasiones aunque aparece como conectado al poner contraseña incorrecta o no ponerla al minuto se desconecta, esto es porque no ha superado el paso de la contraseña.

Tú por ejemplo en el log que has puesto tienes unos cuantos casos así. Que han intentado conectar pero no han podido.

De todas formas mirate bien la configuración de router que tienes los puertos abiertos. Fijate sobretodo que no tengas activado el DMZ, si es así desactivalo en el acto.

ujua · 1 Abr 2017

Yo también tengo la contraseña cambiada y puerto redireccionado y también me salto ese mensaje tipo pop up, ¿ que ha cambiado para que salga este mensaje??

Salu2

darkmantk · 1 Abr 2017

Joer es que no leéis los changelogs y los manuales que se publican?.

Al final vais a conseguir que ni nos tomemos la molestia si luego ni se lee.

aigor1 · 1 Abr 2017

Hola

Muchas gracias por tu respuesta, estoy viendo el log y me sorprende la cantidad de intentos que hay.

Yo por si acaso cambie la firma ssh y cerré telnet desde fuera la red local.

Recomiendo a todos cambiar la pass que viene por defecto en el de deco.

Mediante consola con netstat no me aparece, ninguna establecida, es fácil verlo asi

Gracias

ujua · 1 Abr 2017

Si, si he visto el changelog, pero la pregunta va por otro lado a como la has entendido, me refería a como puede salirme un aviso de conexión ssh teniendo contraseña y puertos ssh redireccionados??

Enviado desde mi Redmi 3 mediante Tapatalk

darkmantk · 1 Abr 2017

ujua dijo:
Si, si he visto el changelog, pero la pregunta va por otro lado a como la has entendido, me refería a como puede salirme un aviso de conexión ssh teniendo contraseña y puertos ssh redireccionados??

Enviado desde mi Redmi 3 mediante Tapatalk

Como he dicho aunque te ponga conectado no tiene porque haber sido así, puede ser un intento y no superar la parte de la contraseña por eso en muchos casos veras que en un máximo de 1 minuto o así aparece desconectado.

Como puede salirte, fácil aunque lo tengas redireccionado sigues teniendo puertos abiertos aunque sean otros. Esto es tan fácil saberlo como hacer un escaneo de puertos abiertos a tu IP con un programa como nmap.

evox · 1 Abr 2017

ujua dijo:
Si, si he visto el changelog, pero la pregunta va por otro lado a como la has entendido, me refería a como puede salirme un aviso de conexión ssh teniendo contraseña y puertos ssh redireccionados??

Enviado desde mi Redmi 3 mediante Tapatalk

La contraseña no tiene nada ke ver simplemente te avisa del intento sea exitoso o no, como se indica en la guia si conecta y al minuto mas o menos desconecta es ke no ha logrado pasar por la contraseña pero seguira intentandolo no lo dudes y si te salta el aviso es ke el puerto ssh apunta a ese deco digas lo ke digas asi ke revisa todo ke algo esta mal.

Salu2.

ujua · 2 Abr 2017

Joder pues vaya, casi mejor cerrar todo y limitarte a hacer las cosas desde casa, no veas como esta el patio..., Si yo con el móvil desde fuera de mi casa intento entrar por ssh con el puerto 22 que es el por defecto no conecto, pero si pongo el puerto suplente por decirlo así, si me va.., lo único que puede ser es lo que dice dark, que vayan probando, porque sino no me lo explico...

Salu2

Enviado desde mi Redmi 3 mediante Tapatalk

darkmantk · 2 Abr 2017

Ya te lo confirmo ujua, en internet hay dispositivos zombies que se dedican a buscar IP's y escanear sus puertos para intentar añadir el dispositivo a la red zombie.

El primer problema los tenemos con los routers de los operadoras que vienen configurados de mala manera y nos deja expuestos a ataques de este tipo, segundo porque son routers que el firm nunca se va actualizar o se se detecta alguna vulnerabilidad no va a ser parcheada como está pasando en muchos routers de los operadores.

JR · 2 Abr 2017

Pero cuanto tiempo llevamos diciendo lo de conectar desde red externa? A ver si así os concienciais

Solucion Seguridad SSH

aigor1

Usuario

evox

OpenSpa Team

aigor1

Usuario

evox

OpenSpa Team

aigor1

Usuario

darkmantk

OpenSpa Team

ujua

Usuario

darkmantk

OpenSpa Team

aigor1

Usuario

ujua

Usuario

darkmantk

OpenSpa Team

evox

OpenSpa Team

ujua

Usuario

darkmantk

OpenSpa Team

JR

OpenSPA Team