El 2005-01-05 a las 12:17 -0000, Jesus Antolin Garcia escribió:
Mirando /var/log/messages veo que se han colado muchisimas personas por ssh ( si, el que dicen que es protocolo seguro ). Personas extranjeras y de isps desconocidas ( mas de 30 de ellas con la misma ip ) se han colado en el sistema. La sintaxis del log es algo asin: illegal user pattirick from :fff.256.32.15.12
Tsk, tsk... hay que leer bien los mensajes. Te dice que es un "usuario ilegal", o sea, que no le ha permitido entrar.
Lo que quiere decir que no es que hayan intentrado acceder, ES QUE SI QUE HAN PODIDO ACCEDER.
No, que han intentado entrar con un usuario inexistente o ilegal.
De momento he quitado sshd pero esa no es la solucion, un saludo.
Esos ataques son bastante conocidos y han salido en las listas de seguridad hace _meses_. Deberías leerlas. Simplemente intentan encontrar nombres de usuario existentes en un sistema determinado (como admin), y una vez encontrado un usuario existente (se determina por el diferente tiempo de respuesta del ssh según el usuario exista o no exista antes de pedir la pasword), entonces lanzan un ataque de diccionario contra ese servidor.
La solución es desabilitar la entrada a ssh por palabra clave, y hacerlo por llave criptografica - si es que necesitas usar ssh desde cualquier IP. En caso contrario, limita las IPs que puedan conectarse a tu sistema.