Ayer Dani me comentaba que habia recibido muchos intentos de ataque desde una misma IP contra su equipo,intentandole entrar a traves de SSH a su ordenador, lo pudo comprobar en este log:
Aug 5 22:54:00 televisor sshd[29553]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=78.26.128.xx user=root
Aug 5 22:54:02 televisor sshd[29553]: Failed password for root from 78.26.128.xx port 420xx ssh2
Aug 5 22:54:08 televisor sshd[29555]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=78.26.128.xx user=root
Aug 5 22:54:10 televisor sshd[29555]: Failed password for root from 78.26.128.xx port 446xx ssh2
Aug 5 22:54:16 televisor sshd[29557]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=78.26.128.xx user=root
Aug 5 22:54:19 televisor sshd[29557]: Failed password for root from 78.26.128.xx port 471xx ssh2
Aug 5 22:54:25 televisor sshd[29559]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=78.26.128.xx user=root
El robot (Geolocalizado en Rumania..) probaba cada 5 segundos de entrar en su maquina desde diferentes puertos. Para prevenirse en salud ahora utiliza Fail2Ban.
Fail2ban lee los logs (por ejemplo) /var/log/pwdfail o /var/log/apache/error_log y veta todas aquellas ips que fallan un determinado número de veces. Este veto se realiza actualizando directamente el firewall (tipicamente iptables).
De esta manera nos ahorramos mucha faena.
Podeis ver un pequeño tutorial para su instalación aqui, y más informacion en su wiki.
Xavi Gonzalez 