Tambien he recibido ataques por ssh

Hace tiempo que no posteo, pero sigo leyendo blogdrake ;)


Hoy me he puesto a mirar los logs y cual es mi sorpresa al ver que en el log auth.log hay mas de 8 paginas de un ataque por ssh del dia 6, lunes. Y TODO ESO EN 2 MINUTOS!!!. Osea lo mismo que le ha pasado a Kalvy, pero paré a tiempo el ordenador (sin saber que me estaban atacando)




Si, ya se que deberia tener el ssh cerrado, pero esque lo uso entre varios ordenadores de la red local - que tengo protegida por un router que hace funciones de firewall - .Por diversos motivos estas semanas he tenido que tener el cablemodem directamente conectado a mi ordenador, y claro, ssh para todos!!




Aqui dejo una pequeña muestra (no voy a poner las 8 paginas ;) )

Mar  6 20:56:26 CASA1 sshd[4284]: error: Could not get shadow information for NOUSER


Mar  6 20:56:26 CASA1 sshd[4284]: Failed password for invalid user webadmin from 81.92.219.4 port 42441 ssh2


Mar  6 20:56:27 CASA1 sshd[4286]: Invalid user spam from 81.92.219.4


Mar  6 20:56:27 CASA1 sshd[4286]: error: Could not get shadow information for NOUSER


Mar  6 20:56:27 CASA1 sshd[4286]: Failed password for invalid user spam from 81.92.219.4 port 42462 ssh2


Mar  6 20:56:28 CASA1 sshd[4288]: Invalid user virus from 81.92.219.4


Mar  6 20:56:28 CASA1 sshd[4288]: error: Could not get shadow information for NOUSER


Mar  6 20:56:28 CASA1 sshd[4288]: Failed password for invalid user virus from 81.92.219.4 port 42483 ssh2


Mar  6 20:56:28 CASA1 sshd[4290]: Invalid user cyrus from 81.92.219.4


Mar  6 20:56:28 CASA1 sshd[4290]: error: Could not get shadow information for NOUSER


Mar  6 20:56:28 CASA1 sshd[4290]: Failed password for invalid user cyrus from 81.92.219.4 port 42502 ssh2


Mar  6 20:56:29 CASA1 sshd[4292]: Invalid user oracle from 81.92.219.4


Mar  6 20:56:29 CASA1 sshd[4292]: error: Could not get shadow information for NOUSER


Mar  6 20:56:29 CASA1 sshd[4292]: Failed password for invalid user oracle from 81.92.219.4 port 42519 ssh2


Mar  6 20:56:30 CASA1 sshd[4294]: Invalid user michael from 81.92.219.4


Mar  6 20:56:30 CASA1 sshd[4294]: error: Could not get shadow information for NOUSER


Mar  6 20:56:30 CASA1 sshd[4294]: Failed password for invalid user michael from 81.92.219.4 port 42541 ssh2


Mar  6 20:56:30 CASA1 sshd[4296]: Invalid user ftp from 81.92.219.4


Mar  6 20:56:30 CASA1 sshd[4296]: error: Could not get shadow information for NOUSER


Mar  6 20:56:30 CASA1 sshd[4296]: Failed password for invalid user ftp from 81.92.219.4 port 42562 ssh2


Mar  6 20:56:31 CASA1 sshd[4298]: Invalid user test from 81.92.219.4


Mar  6 20:56:31 CASA1 sshd[4298]: error: Could not get shadow information for NOUSER


Mar  6 20:56:31 CASA1 sshd[4298]: Failed password for invalid user test from 81.92.219.4 port 42979 ssh2


Mar  6 20:56:32 CASA1 sshd[4300]: Invalid user webmaster from 81.92.219.4


 

Etc etc etc.. siempre desde la misma ip: "81.92.219.4" Que si hacemos un whois sacamos que pertenece a:


person: Rackspot Lda
address: Apartado 533
address: 2401-975 Leiria
phone: +351 707 780 717
abuse-mailbox: abuse@rackspot.com
nic-hdl: RL2143-RIPE
mnt-by: MNT-NFSI
source: RIPE # Filtered

he podido saber que es de portugal.

Creo que es una ip dinamica normal, porque responde ping, tiene mucho ping y no responde http, bueno, por lo que supongo que habran falseado la ip de alguna forma o habran hecho el ataque desde un host infectado con esa ip.

Bueno, solo era eso, tampoco quiero calentarme mas la cabeza, aunque seguro que muchos de aqui estareis acostumbrados a ataques diarios (por vuestro curro) este a sino mi primer ataque.

Decir que un "halt" salvo el ataque... jeje creo que alguien se dejo el ordenador en marcha con la pantalla de bienvenida, y creo recordar que lo vi y lo pare. :)

Seguire las instrucciones que habeis dado a Kalvy, ya que tambien me interesa mucho el tema de la seguridad.

Saludos