Re: Ataque a servidor debian
El lun, 21-02-2011 a las 18:36 -0600, Victor H De la Luz escribió:
> Saludos!
>
> El dia de ayer recibi un ataque, el cual me dejo sin server un par de
> horas, despues de actuar rapidamente (solo tenia algunos segundos
> despues de reiniciar el server (en un lugar muy muy lejano)) pude
> bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que
> mi server esta soportando el ataque.
>
> En los logs del sistema encontre (y sigo encontrando) lo siguiente
>
> /var/log/auth.log
>
> Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247
> Feb 21 17:37:33 sshd[2229]: error: Could not load host key:
> /etc/ssh/ssh_host_dsa_key
> Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35
> Feb 21 17:38:22 sshd[2232]: error: Could not load host key:
> /etc/ssh/ssh_host_dsa_key
> Feb 21 17:38:22 sshd[2232]: Did not receive identification string
> from 115.249.0.138
> Feb 21 17:41:16 sshd[2233]: error: Could not load host key:
> /etc/ssh/ssh_host_dsa_key
>
> Lo que me interesa es saber quien diablos esta atacando (logicamente
> las IPs no estan registradas).
>
> Esta inflando mis logs y temo un ataque diferente. Mi server esta en
> produccion y dudo mucho poder moverlo, ademas de que es un servidor
> remoto.
>
> Algun consejo?
>
> --
> ItZtLi
>
>
Hola,
Puedes utilizar DenyHosts "http://denyhosts.sourceforge.net/";, esta
contenido en los repositorios de Debian.
Bloquea la IPs que hacen un número determinado de intentos de conexión
con el servicio ssh mediante la interpretación del log "auth.log". Es
totalmente configurable, pudiendo poner el número de intentos (tanto
como usuario o como root) que creas conveniente. También se puede
configurar el tiempo que van ha estar las IPs deshabilitadas.
Funciona bastante bien.
Un saludo Fran.
Reply to: