Recibiendo Ataque de fuerza bruta por SSH a servidor Linux Centos7 (SOLUCIONADO)
Hace un par de días al acceder a mi servidor por SSH, veo un aviso que me dice: "There were 68992 failed login attempts since the last successful login." (Hubo 68992 intentos de inicio de sesión fallidos desde el último inicio de sesión exitoso.)
Cada segundo más o menos estaba recibiendo un intento de login por SSH con el usuario "root" y con otros nombre de usuario como "admin", "user2", etc.
Como ejemplo muestro la respuesta del comando "lastb" que muestra los intentos de acceso fallidos:
[root@server ~]# lastb -ain 10
pi ssh:notty Thu Mar 8 08:45 - 08:45 (00:00) 67.212.124.43
pi ssh:notty Thu Mar 8 08:45 - 08:45 (00:00) 67.212.124.43
pi ssh:notty Thu Mar 8 08:45 - 08:45 (00:00) 67.212.124.43
pi ssh:notty Thu Mar 8 08:45 - 08:45 (00:00) 67.212.124.43
electrum ssh:notty Thu Mar 8 08:42 - 08:42 (00:00) 80.147.210.170
electrum ssh:notty Thu Mar 8 08:42 - 08:42 (00:00) 80.147.210.170
user2 ssh:notty Thu Mar 8 08:41 - 08:41 (00:00) 109.245.221.126
user2 ssh:notty Thu Mar 8 08:41 - 08:41 (00:00) 109.245.221.126
root ssh:notty Thu Mar 8 08:32 - 08:32 (00:00) 59.63.166.104
root ssh:notty Thu Mar 8 08:32 - 08:32 (00:00) 59.63.166.104
Con el comando "last" muestra los acceso correctos, ejemplo:
[root@server ~]# last -ain 5
root pts/0 Thu Mar 8 15:38 still logged in mi-ip.xxx.xxx.xx
root pts/0 Thu Mar 8 09:19 - 15:38 (06:19) mi-ip.xxx.xxx.xx
root pts/1 Thu Mar 8 06:58 - 08:59 (02:00) mi-ip.xxx.xxx.xx
konclass ftpd8541 Thu Mar 8 06:21 - 06:22 (00:01) mi-ip.xxx.xxx.xx
konclass ftpd8539 Thu Mar 8 06:21 - 06:31 (00:10) mi-ip.xxx.xxx.xx
Para ver más información sobre los intentos de acceso me voy a ver los log: cd /var/log/
Al hacer un "ls" # ls -lh ya veo que los archivos de registro pesan demasiado:
17M mar 8 15:38 secure
31M mar 4 03:49 secure-20180304
Aquí muestro como ejemplo una parte del log "secure":
Mar 8 05:51:41 server sshd[6288]: Invalid user list from 188.166.213.215 port 46034
Mar 8 05:51:41 server sshd[6288]: input_userauth_request: invalid user list [preauth]
Mar 8 05:51:41 server sshd[6288]: pam_unix(sshd:auth): check pass; user unknown
Mar 8 05:51:41 server sshd[6288]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.166.213.215
Mar 8 05:51:43 server sshd[6288]: Failed password for invalid user list from 188.166.213.215 port 46034 ssh2
Mar 8 05:51:44 server sshd[6288]: Received disconnect from 188.166.213.215 port 46034:11: Normal Shutdown, Thank you for playing [preauth]
Mar 8 05:51:44 server sshd[6288]: Disconnected from 188.166.213.215 port 46034 [preauth]
Como solución, primero lo intente con FAIL2BAN, pero no me resulto nada bien, me bloqueaba el acceso a todos los sitios web alojados en el servidor, bloqueando los puertos 80 y 443 y tuve un lio del copón para volver a dejar todo funcionando de nuevo, en fin, un lío muy grande y seguía todo igual.