Re: Tentativas de ataque por SSH - /var/log/auth.log
El lun, 24-04-2006 a las 11:35 -0300, Miguel Da Silva escribió:
> Señores, veo las siguientes entradas en mi /var/log/auth.log (ya sea en la computadora de mi casa o en las computadoras de mis trabajos):
>
> Apr 10 17:12:19 peligro sshd[31988]: Invalid user http from 61.220.36.148
> Apr 10 17:12:23 peligro sshd[31990]: Invalid user httpd from 61.220.36.148
> Apr 10 17:12:27 peligro sshd[31992]: User nobody from 61-220-36-148.hinet-ip.hinet.net not allowed because not listed in AllowUsers
> Apr 10 17:12:31 peligro sshd[31994]: User root from 61-220-36-148.hinet-ip.hinet.net not allowed because not listed in AllowUsers
> Apr 10 17:12:35 peligro sshd[31996]: Invalid user backup from 61.220.36.148
> Apr 10 17:12:39 peligro sshd[31998]: Invalid user info from 61.220.36.148
> Apr 10 17:12:44 peligro sshd[32000]: Invalid user shop from 61.220.36.148
> Apr 10 17:12:48 peligro sshd[32002]: Invalid user sales from 61.220.36.148
>
> Me imagino que no fue posible entrar a las computadoras (el todas las computadoras que miré los mensajes eran muy similares y los cambios que habian eran de nombre de la máquina solamente), pero mi llama la atención la linea que dice la conexión como root no fue posible porque el usuario no está listando en AllowUsers.
>
> Eso quiere decir simplemente que no se pudo conectar porque no se sabía la contraseña o porque el root tiene deshabilitado la conexión por SSH? En todas las máquinas la conexión por SSH como está deshabilitada y en la cláusula AllowUsers solo tengo mi usuario (aunque hayan otros en la computadora).
>
> Espero que esté clara mi pregunta.
>
> Saludos.
>
Yo y todos tenemos ese tipo de mensajes si no tomamos una serie de
medidas.
Yo por ejemplo elimine estos intentos simplemente limitando la subred
desde la que conecto que es siempre la misma.
Puedes usar fail2ban si no puedes hacer este tipo de limitaciones.
Reply to: