MaxSema
Posts: 35
Joined: Fri Dec 12, 2014 9:32 pm

Uso anormal

Sat Dec 20, 2014 9:01 pm

Buenas,
Tengo montado un servidor en mi raspberry, concretamente de owncloud. El tema es que cuando alguien se conecta a owncloud de mi servidor lo se porque el disco duro externo empiza a hacer un poco de ruido :P

Lo raro es que veo que la cpu esta en uso(no mucho pero mas de lo que deberia) y mirando las tareas veo que SSH esta usando un 8-10% de la cpu.
Esto es normal o me estoy volviendo paranoico? Que yo sepa esto deberia pasar cuando solamente yo me conectase mediante SSH a la raspberry.


Otra pregunta es por el tema de seguridad. Si alguien quisiera atacarme para por ejemplo robarme informacion, solo podria robar del servidor o podria colarse en la red de mi casa?

Me preocupa un poco lo de que alguien decida joderme un poco en este aspecto xP

Cefiro
Posts: 114
Joined: Tue Feb 26, 2013 4:14 pm

Re: Uso anormal

Sun Dec 21, 2014 8:10 am

MaxSema wrote:Lo raro es que veo que la cpu esta en uso(no mucho pero mas de lo que deberia) y mirando las tareas veo que SSH esta usando un 8-10% de la cpu. Esto es normal o me estoy volviendo paranoico? Que yo sepa esto deberia pasar cuando solamente yo me conectase mediante SSH a la raspberry.
¿Pero tú estás conectado en ese momento por SSH para ver las tareas? Si no lo estás, el servidor SSH no debería de estar en uso, a no ser que alguien más esté intentando entrar en ese momento. Que yo sepa, SSH no tiene nada que ver con ownCloud. Este hace uso del servidor web (Apache), no de SSH.
Otra pregunta es por el tema de seguridad. Si alguien quisiera atacarme para por ejemplo robarme informacion, solo podria robar del servidor o podria colarse en la red de mi casa?
Si la RPi foma parte de la red de tu casa, lógicamente, sí podría. Por eso hay que prestar mucha atención a la seguridad. Lo primero (cosa que no todo el mundo hace) es instalar un cortafuegos y luego asegurar en lo posible el servidor SSH. Ambas cosas (y alguna más) las tengo recogidas y explicadas aquí: http://www.rpi.uroboros.es/segurid.html Luego también podrías configurar ownCloud con el servidor web en modo seguro (HTTPS) como se explica aquí: http://www.rpi.uroboros.es/servers.html (aunque en este caso es usando Nginx como servidor web, no Apache). Espero que todo esto te sea útil.

Saludos.
------
Mi web sobre la RPi en: http://rpi.uroboros.es

User avatar
gpio
Posts: 26
Joined: Wed Dec 03, 2014 10:19 pm
Location: Gran Canaria :: Spain

Re: Uso anormal

Sun Dec 21, 2014 10:36 am

¿El usuario no será root ni pi o algo común verdad?

¿Tienes denegado el acceso a root mediante ssh en el servidor?

¿El puerto de ssh no será el 22? (Aunque descubrir puertos abiertos en un host tampoco es un misterio, pero el asunto es complicar el acceso).

Leíste los logs a ver si ves algo (aunque si es de los buenos habrá borrado los logs), pero no creo que sea el caso, ni que esté accediendo nadie, a lo mejor es el mismo ownCloud que se está sincronizando la hora con algún servidor ntp, a saber...

tail /var/logs/auth.log -n <y aquí le pones un número para limitar el número de líneas o no pongas nada y borra -n para que te muestre todo el contenido del archivo>

Si quieres revocar los accesos al servidor lo puedes hacer en /home/tu_usuario/.ssh/known_host

En el servidor podrias borrar la clave y generar una nueva (Eso si tienes dudas busca en google que seguro encuentras como hacerlo). Eso podría evitar que accedieran con la anterior clave, aunque en el hipotético caso de que hayan accedido es posible que hayan instalado un rootkit, así que tendrías que escanear el sistema con algún escáner para rootkits por si acaso.

Saludos

MaxSema
Posts: 35
Joined: Fri Dec 12, 2014 9:32 pm

Re: Uso anormal

Sun Dec 21, 2014 3:59 pm

Muchas gracias por vuestras respuestas, ahora me pondre en ello.

No uso HTTPS porque los navegadores me dan errores cuando fuerzo usar HTTPS.

Lo raro es que mas o menos es a la misma hora, hacia las 19:00-21-00.

Cefiro
Posts: 114
Joined: Tue Feb 26, 2013 4:14 pm

Re: Uso anormal

Sun Dec 21, 2014 4:10 pm

MaxSema wrote:No uso HTTPS porque los navegadores me dan errores cuando fuerzo usar HTTPS.
Si es lo que me imagino, no son errores. Es una advertencia de seguridad. Ello se debe a que el certificado SSL de un servidor HTTPS de usuario está creado por ese usuario y no por una autoridad certificadora reconocida. En el navegador aparecerá una advertencia de seguridad que dirá algo así como "Esta conexión no está verificada". Hacemos clic en "Entiendo los riesgos" o algo parecido, añadimos una excepción y ya se puede entrar en la web.

Saludos.
-----
Mi web sobre la RasPi en: http://rpi.uroboros.es

User avatar
gpio
Posts: 26
Joined: Wed Dec 03, 2014 10:19 pm
Location: Gran Canaria :: Spain

Re: Uso anormal

Sun Dec 21, 2014 7:47 pm

Revisa los logs cuando intentas acceder mediante https a ver de qué se trata: http://www.codeasite.com/index.php/linu ... -log-files

MaxSema
Posts: 35
Joined: Fri Dec 12, 2014 9:32 pm

Re: Uso anormal

Mon Dec 22, 2014 8:35 pm

Si es por eso, pero no sabia como explicarme xP

Return to “Español”