El 22/02/11 16:21, Victor H De la Luz escribió: > 2011/2/22 Marc Aymerich <glicer...@gmail.com>: >> >> On Tue, Feb 22, 2011 at 1:36 AM, Victor H De la Luz <itz...@gmail.com> >> wrote: >>> Saludos! >>> >>> El dia de ayer recibi un ataque, el cual me dejo sin server un par de >>> horas, despues de actuar rapidamente (solo tenia algunos segundos >>> despues de reiniciar el server (en un lugar muy muy lejano)) pude >>> bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que >>> mi server esta soportando el ataque. >>> >>> En los logs del sistema encontre (y sigo encontrando) lo siguiente >>> >>> /var/log/auth.log >>> >>> Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 >>> Feb 21 17:37:33 sshd[2229]: error: Could not load host key: >>> /etc/ssh/ssh_host_dsa_key >>> Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 >>> Feb 21 17:38:22 sshd[2232]: error: Could not load host key: >>> /etc/ssh/ssh_host_dsa_key >>> Feb 21 17:38:22 sshd[2232]: Did not receive identification string >>> from 115.249.0.138 >>> Feb 21 17:41:16 sshd[2233]: error: Could not load host key: >>> /etc/ssh/ssh_host_dsa_key >>> >>> Lo que me interesa es saber quien diablos esta atacando (logicamente >>> las IPs no estan registradas). >>> >>> Esta inflando mis logs y temo un ataque diferente. Mi server esta en >>> produccion y dudo mucho poder moverlo, ademas de que es un servidor >>> remoto. >>> >>> Algun consejo? >> No he entendido nada. ¿¿Unos intentos de login en el servicio SSH te tumba >> el servidor entero?? O los logs que has puesto no tienen nada que ver con el >> ataque que comentas? >> >> -- >> Marc >> > El servidor dejo de responder (http). Al intentar logearme (ssh) el > servidor no respondia. Asi que reinicie el servidor, a los pocos > segundos se volvia a caer, asi que me costo mucho trabajo revisar los > logs y encontre justo las lineas que les envie. Busque en la internet > y encontre la forma de bloquearlos con iptables. > > Con 2 lineas de configuracion el servidor se estabilizo, pero al > revisar de nuevo los logs (ayer), habia cientos de intentos de logeo. > Por eso el correo, que hacer para detenerlos? aun cuando ya no afectan > al server. > > Estoy instalando denyhost, y tratando de contactar los due;os de las > ips (al parecer coreanos) para ponerlos al tanto. Tambien estoy > revisando la forma de automatizar el proceso. > > Gracias a todos y si tienen mas sugerencias, se los agradeceria. >
Te sugiero que no expongas puertos que no quieras servir al público publicamente. Usa openvpn y un rango reservado para ese tipo de servicios. Un saludo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d63d530.3000...@limbo.ari.es