Re: Ataque a servidor debian
On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz <itztli@gmail.com> wrote:
> Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247
> Feb 21 17:37:33 sshd[2229]: error: Could not load host key:
> /etc/ssh/ssh_host_dsa_key
Esto es el típico "ataque" (por llamarlo de alguna manera) que se
realiza con redes zombies de máquinas (aunque hay algún patán
scriptkiddie que lo hace desde su máquina).
Mi consejo:
1- cambia el puerto al SSH (es algo que siempre hago por defecto en
cualquier server con IP pública).
2- puedes instalarte también algún programa tipo "fail-to-ban"
(perdona pero como no los uso no recuerdo ahora mismo el nombre de
ninguno). Basicamente lo que hacen es vigilar un puerto determinado
que tú le indiques (el 22 típico o el que le hayas puesto nuevo al
ssh), y según las indicaciones que tú le hayas programado, cierran la
conexión a la IP de quien esté intentando hacer... pues lo que te está
pasando a tí.
3- si puedes y tienes tiempo, procesa tu archivo log y créate algún
script que vaya enviando a las direcciones abuse de cada compañía un
aviso conforme alguien, desde la dirección XXX, según tus logs (que
deberás adjuntar para esa IP dada), está intentando acceder "por malas
artes" a tu máquina sin tu consentimiento, y que si no hacen algo te
verás obligado a interponer denuncia a ellos, como propietarios de la
IP desde donde se está realizando el ataque.
Saludines.
--
---------------------------------------------------------------------------------------
Have a nice day ;-)
TooManySecrets
/"\ ASCII Ribbon Campaign | FreeBSD Since 4.1
\ / - NO HTML/RTF in e-mail | GNU/Linux Since 1994.
X - NO Word docs in e-mail | OpenSUSE Member
/ \ - http://www.toomany.net ; | OpenSolaris Community Member
---------------------------------------------------------------------------------------
Reply to: