2011/2/22 Marc Aymerich <glicer...@gmail.com> > > > On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz <itz...@gmail.com>wrote: > >> Saludos! >> >> El dia de ayer recibi un ataque, el cual me dejo sin server un par de >> horas, despues de actuar rapidamente (solo tenia algunos segundos >> despues de reiniciar el server (en un lugar muy muy lejano)) pude >> bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que >> mi server esta soportando el ataque. >> >> En los logs del sistema encontre (y sigo encontrando) lo siguiente >> >> /var/log/auth.log >> >> Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 >> Feb 21 17:37:33 sshd[2229]: error: Could not load host key: >> /etc/ssh/ssh_host_dsa_key >> Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 >> Feb 21 17:38:22 sshd[2232]: error: Could not load host key: >> /etc/ssh/ssh_host_dsa_key >> Feb 21 17:38:22 sshd[2232]: Did not receive identification string >> from 115.249.0.138 >> Feb 21 17:41:16 sshd[2233]: error: Could not load host key: >> /etc/ssh/ssh_host_dsa_key >> >> Lo que me interesa es saber quien diablos esta atacando (logicamente >> las IPs no estan registradas). >> >> Esta inflando mis logs y temo un ataque diferente. Mi server esta en >> produccion y dudo mucho poder moverlo, ademas de que es un servidor >> remoto. >> >> Algun consejo? >> > > No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba > el servidor entero?? O los logs que has puesto no tienen nada que ver con el > ataque que comentas? > > De todas formas si tienes IP fija puedes usar el /etc/host.deny y el /etc/host.allow para limitar el acceso al servicio ssh solo para tu IP.
-- Marc