Hace unas semanas publiqué una pregunta aquí sobre algunos ssh problemas que estaba teniendo con una caja de Ubuntu 12.04. Avance rápido hasta hoy y estoy tratando de permitir que otra persona acceda a la máquina, pero siguen recibiendo errores de contraseña. Compruebo var/logs/auth.log para más información, y encontré esto:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
Tengo casi 10000 líneas que parecen decir más o menos lo mismo (también hay 4 archivos auth.log.gz, que supongo que son más de lo mismo). A veces hay un nombre de usuario aleatorio adjunto a la solicitud, input_userauth_request: invalid user bash [preauth]
No sé mucho sobre servidores, pero parece que alguien está intentando acceder al mío.
Busqué en Google cómo bloquear una dirección IP en Ubuntu y terminé con esto:iptables -A INPUT -s 211.110.xxx.x -j DROP , pero después de ejecutar ese comando y revisar los registros, sigo recibiendo solicitudes de esta IP cada 5 segundos.
¿Cómo puedo obtener más información sobre lo que está pasando y hacer frente a estas solicitudes constantes?
Respuesta aceptada:
Por lo que describes, parece un ataque automatizado a tu servidor. La mayoría de los ataques son, a menos que el atacante te conozca personalmente y te guarde rencor...
De todos modos, es posible que desee buscar en denyhosts, que puede obtener de los repositorios habituales. Puede analizar intentos repetidos y bloqueará su dirección IP. Aún puede obtener algo en sus registros, pero al menos ayudará a mitigar cualquier problema de seguridad.
En cuanto a obtener más información, realmente no me molestaría. A menos que sea un aficionado, usará un servidor remoto para hacer su trabajo sucio, lo que no le dirá nada sobre quiénes son realmente. Su mejor apuesta es encontrar el administrador para el rango de IP (WHOIS es su amigo aquí) y hacerle saber que está recibiendo muchos intentos de acceso desde esa IP. Pueden ser lo suficientemente buenos como para hacer algo al respecto.
Relacionado:¿La forma más fácil de configurar Ubuntu como un servidor Vpn en Ubuntu?