El lun, 21-02-2011 a las 18:36 -0600, Victor H De la Luz escribió: > Saludos! > > El dia de ayer recibi un ataque, el cual me dejo sin server un par de > horas, despues de actuar rapidamente (solo tenia algunos segundos > despues de reiniciar el server (en un lugar muy muy lejano)) pude > bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que > mi server esta soportando el ataque. > > En los logs del sistema encontre (y sigo encontrando) lo siguiente > > /var/log/auth.log > > Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 > Feb 21 17:37:33 sshd[2229]: error: Could not load host key: > /etc/ssh/ssh_host_dsa_key > Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 > Feb 21 17:38:22 sshd[2232]: error: Could not load host key: > /etc/ssh/ssh_host_dsa_key > Feb 21 17:38:22 sshd[2232]: Did not receive identification string > from 115.249.0.138 > Feb 21 17:41:16 sshd[2233]: error: Could not load host key: > /etc/ssh/ssh_host_dsa_key > > Lo que me interesa es saber quien diablos esta atacando (logicamente > las IPs no estan registradas). > > Esta inflando mis logs y temo un ataque diferente. Mi server esta en > produccion y dudo mucho poder moverlo, ademas de que es un servidor > remoto. > > Algun consejo? > > -- > ItZtLi > > Cambia el puerto de ssh y si no puedes, instala fail2ban http://www.fail2ban.org/wiki/index.php/HOWTO_fail2ban_spanish De todos modos a tu servidor le faltan los certificados SSH dpkg-reconfigure openssh-server -- Saludos -- http://mariodebian.com
Attachment:
signature.asc
Description: This is a digitally signed message part