Podemos evitar parte de estos ataques instalando la utilidad fail2ban, que permite escanear los ficheros logs del sistema, detecta los ataques sufridos y toma automáticamente medidas para evitarlos, por ejemplo, baneando la IP de la máquina atacante durante cierto tiempo.
La instalación se puede hacer con apt-get.
apt-get install fail2ban
Ahora podemos habilitar las reglas de escaneo de logs que queramos modificando el fichero de configuración /etc/fail2ban/jail.conf.
Aqui podremos, por ejemplo, cambiar la dirección del correo electronico de destino de las notificaciones, el contenido del correo, etc.
destemail = correo.de.destino@dominio.com
mta = mail
action = %(action_mwl)s
La configuración por defecto escanea el fichero /var/log/auth.log que, entre otras cosas, usa el demonio sshd para escribir el log de los intentos fallidos de login para que, usando iptables, restringa los accesos desde la IP atacante y, a la vez, nos envíe un correo electronico avisándonos (un ataque de fuerza bruta muy habitual en internet).
La mayoría de las veces se trata de máquinas que han sido infectadas por algún troyano sin que sus dueños sepan que están siendo usadas para atacar a otras máquinas.
Si podeis poneros en contacto con el dueño y avisarle os lo agradecerá enormemente.
Hola! Ayuda me.
ResponderEliminar