Saludos! El dia de ayer recibi un ataque, el cual me dejo sin server un par de horas, despues de actuar rapidamente (solo tenia algunos segundos despues de reiniciar el server (en un lugar muy muy lejano)) pude bloquear el ataque (iptables), pero aun lo sigo recibiendo, solo que mi server esta soportando el ataque.
En los logs del sistema encontre (y sigo encontrando) lo siguiente /var/log/auth.log Feb 21 17:36:17 sshd[2227]: Invalid user claude from 114.70.60.247 Feb 21 17:37:33 sshd[2229]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:37:43 sshd[2229]: Invalid user apache from 123.214.25.35 Feb 21 17:38:22 sshd[2232]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Feb 21 17:38:22 sshd[2232]: Did not receive identification string from 115.249.0.138 Feb 21 17:41:16 sshd[2233]: error: Could not load host key: /etc/ssh/ssh_host_dsa_key Lo que me interesa es saber quien diablos esta atacando (logicamente las IPs no estan registradas). Esta inflando mis logs y temo un ataque diferente. Mi server esta en produccion y dudo mucho poder moverlo, ademas de que es un servidor remoto. Algun consejo? -- ItZtLi -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
