Buenas, tengo a un chino todo el día con mas de 5 intentos por minuto es muy pesado, he desactivado el permiterootlogin pero igualmente sigue tanto se aburre que espera conseguir si no hay nada de valor de verdad, alguna ayudita o consejo que me podrías dar? tengo un usuario aparte del root creado pero no tiene los permisos de superadmin, a pesar de añadirlo al grupo wheel , podríais ayudarme ya que soy muy inepto en esto?
Muchas gracias :laugh:
EDIT: Se me ha olvidado mencionar que tengo el fail2ban activado pero cambiarse de ip es muy sencillo.
Hola, no creo que sea un chino, debe estar usando un proxy de China.
En cuanto a que está todo el día intentando entrar en tu servidor, o bien esta al vicio todo el día o bien tiene algún bot que lo hace automáticamente, de todas maneras si estás seguro que no puede ingresar y/o no tienes nada importante, entonces déjalo que pierda su tiempo.
Otra opción es que lo bloquees constantemente, se va a dar cuenta que le estás cerrando cada entrada por la que intenta ingresar y se va a terminar llendo.
Saludos
Hola, existen muchas botnets muy grandes que estan todos los dias intentando probar acceder a servidores ssh por fuerza bruta, yo mismo tengo un par de servidores y el log diario por intento de accesos es muuuy largo.
Para evitar eso he desactivado el acceso por contraseña y utilizo unicamente llaves rsa fuertes, de esa manera puedo acceder a mis servidores sin contraseñas y hasta de una manera mucho mas cómoda y segura. Es casi imposible que alguien crackee una llave rsa sin conocer la llave pública, y ni aun asi, está muy dificil hacerlo.
PasswordAuthentication no
PermitEmptyPasswords no
PubkeyAuthentication yes
UsePrivilegeSeparation yes
ChallengeResponseAuthentication no
MaxAuthTries 10
MaxSessions 10
Saludos.
Ya hombre no va a ser alguien aburrido sera una botnet como mencionas, al ser ips distintas de china puse lo de chino, pero nada muchas gracias a los 2 por ayudarme, que vaya bien
Te recomiendo instalar fail2ban y activar las reglas de SSH para que vaya baneando las IP's que tienen demasiados intentos fallidos de autentificación. En Google hay muchos tutoriales de como hacerlo, es basicamente instalar, activar el jail de ssh y a correr.
Saludos
no es exactamente un chino, es una ip china, un ataque 100% automatizado.
Si ya usas Fail2ban lo único que tienes que hacer es añadir drop regla iptables para denegar-ignorar sus peticiones tras x intentos fallidos.
Instalar y configurar Fail2ban
https://blog.elhacker.net/2014/05/instalar-y-configurar-fail2ban.html
Los ataques automatizados vía SSH son demasiado extensos como para no instalar fail2ban.
Hardening SSH
Seguridad en SSH: uso de llaves privadas y multifactor (2FA) con Google Authenticator
https://blog.elhacker.net/2021/01/seguridad-en-ssh-uso-de-llaves-privadas-yautenticacion-multifactor-2fa--con-google-authenticator.html
Usando un honeypot (cowrie) en el puerto ssh te sorprendería ver la cantidad de ataques. Dudo mucho que sólo hayas tenido un intento de una IP china. Lo normal es tener muchos más intentos y de muchos otros países, especialmente Rusia, China, etc.
Más de 200 mil ip's reportadas desde Enero de 2001, la mayoría ataques por fuerza bruta (intentos) por ssh (puerto 22 estándar u otros)
https://www.abuseipdb.com/user/52197
Yo creo que con habilitar el acceso únicamente con llaves en ves de contraseñas es más que suficientes, no es necesario instalar y configurar tanta cosa.
Saludos.
Yo acabé antes con:
-A INPUT -p tcp -m tcp -s MI_IP_FIJA --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
Es decir, sólo aceptando solicitudes al puerto ssh 22 de una IP fija.