On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz <itz...@gmail.com>wrote:
> Saludos! > > El dia de ayer recibi un ataque, el cual me dejo sin server un par de > horas, despues de actuar rapidamente (solo tenia algunos segundos > despues de reiniciar el server (en un lugar muy muy lejano)) pude > bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que > mi server esta soportando el ataque. > > En los logs del sistema encontre (y sigo encontrando) lo siguiente > > /var/log/auth.log > > Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 > Feb 21 17:37:33 sshd[2229]: error: Could not load host key: > /etc/ssh/ssh_host_dsa_key > Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 > Feb 21 17:38:22 sshd[2232]: error: Could not load host key: > /etc/ssh/ssh_host_dsa_key > Feb 21 17:38:22 sshd[2232]: Did not receive identification string > from 115.249.0.138 > Feb 21 17:41:16 sshd[2233]: error: Could not load host key: > /etc/ssh/ssh_host_dsa_key > > Lo que me interesa es saber quien diablos esta atacando (logicamente > las IPs no estan registradas). > > Esta inflando mis logs y temo un ataque diferente. Mi server esta en > produccion y dudo mucho poder moverlo, ademas de que es un servidor > remoto. > > Algun consejo? > No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba el servidor entero?? O los logs que has puesto no tienen nada que ver con el ataque que comentas? -- Marc
