Ataque a servidor debian
Saludos!
El dia de ayer recibi un ataque, el cual me dejo sin server un par de
horas, despues de actuar rapidamente (solo tenia algunos segundos
despues de reiniciar el server (en un lugar muy muy lejano)) pude
bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que
mi server esta soportando el ataque.
En los logs del sistema encontre (y sigo encontrando) lo siguiente
/var/log/auth.log
Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247
Feb 21 17:37:33 sshd[2229]: error: Could not load host key:
/etc/ssh/ssh_host_dsa_key
Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35
Feb 21 17:38:22 sshd[2232]: error: Could not load host key:
/etc/ssh/ssh_host_dsa_key
Feb 21 17:38:22 sshd[2232]: Did not receive identification string
from 115.249.0.138
Feb 21 17:41:16 sshd[2233]: error: Could not load host key:
/etc/ssh/ssh_host_dsa_key
Lo que me interesa es saber quien diablos esta atacando (logicamente
las IPs no estan registradas).
Esta inflando mis logs y temo un ataque diferente. Mi server esta en
produccion y dudo mucho poder moverlo, ademas de que es un servidor
remoto.
Algun consejo?
--
ItZtLi
Reply to: