>
>
> On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz <
itztli@gmail.com>
> wrote:
>>
>> Saludos!
>>
>> El dia de ayer recibi un ataque, el cual me dejo sin server un par de
>> horas, despues de actuar rapidamente (solo tenia algunos segundos
>> despues de reiniciar el server (en un lugar muy muy lejano)) pude
>> bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que
>> mi server esta soportando el ataque.
>>
>> En los logs del sistema encontre (y sigo encontrando) lo siguiente
>>
>> /var/log/auth.log
>>
>> Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247
>> Feb 21 17:37:33 sshd[2229]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>> Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35
>> Feb 21 17:38:22 sshd[2232]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>> Feb 21 17:38:22 sshd[2232]: Did not receive identification string
>> from 115.249.0.138
>> Feb 21 17:41:16 sshd[2233]: error: Could not load host key:
>> /etc/ssh/ssh_host_dsa_key
>>
>> Lo que me interesa es saber quien diablos esta atacando (logicamente
>> las IPs no estan registradas).
>>
>> Esta inflando mis logs y temo un ataque diferente. Mi server esta en
>> produccion y dudo mucho poder moverlo, ademas de que es un servidor
>> remoto.
>>
>> Algun consejo?
>
> No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba
> el servidor entero?? O los logs que has puesto no tienen nada que ver con el
> ataque que comentas?
>
> --
> Marc
>