Buenas foro.
En casa tengo un pequeño servidor (P200) que monté para cacharrear con apache, php, mysql y demás, con debian woody. Un amiguete se animó a cacharrear conmigo, con lo que le dí acceso vía ssh, aparte de abrir el 80 para que pueda ver sus pinitos desde su casa.
El caso es que el servidorcillo siempre ha estado en pie de guerra sin decir ni mu (ha tenido alojado hasta un pequeño foro). Yo nunca me he cortado en el uso de mi conexion, y si bien no entro demasiado, tampoco he dejado de usar las redes p2p.
Bueno, desde hace mas de 2 meses no uso la mulita, y el servidor lleva arriba ya un año y medio. Siempre que he revisado los logs he visto los tipicos intentos chorra de alguna IP de entrar (con root y demas), pero no mas de tres o cuatro intentos, a los que no di importancia.
hoy al llegar del trabajo veo trabajar a saco al led correspondiente al servidor. Me conecto y pregunto a mi amigo si está subiendo o bajando algo gordo, y me dice que lleva sin usarlo una semana. Entro desde mi maquina y veo que el sshd está ocupando "algo" de proceso, con la mosca tras la oreja voy a revisar el auth.log y ....
May 20 01:42:51 calamar-evolution sshd[32665]: reverse mapping checking getaddrinfo for user247.plaza.ds.adp.com failed - POSSIBLE BREAKIN ATTEMPT!
May 20 01:42:51 calamar-evolution sshd[32665]: error: Could not get shadow information for NOUSER
May 20 01:42:51 calamar-evolution sshd[32665]: Failed password for illegal userweb from 208.252.96.247 port 44433 ssh2
May 20 01:42:54 calamar-evolution sshd[32667]: Illegal user www from 208.252.96.247
May 20 01:42:54 calamar-evolution sshd[32667]: reverse mapping checking getaddrinfo for user247.plaza.ds.adp.com failed - POSSIBLE BREAKIN ATTEMPT!
May 20 01:42:54 calamar-evolution sshd[32667]: error: Could not get shadow information for NOUSER
May 20 01:42:54 calamar-evolution sshd[32667]: Failed password for illegal userwww from 208.252.96.247 port 44537 ssh2
la hora del sistema está mal (siempre se me olvida ponerlo en hora
) y lo del nombre del dominio es porque en su dia cacharreamos con las DNS y las volvimos a bajar. Esta es una pequeña muestra, la verdad es que hay muchas ocurrencias desde la misma ip en muy pocos segundos (usando fuerza bruta).
De momento he cerrado a saco el ssh, a falta de filtrar esa ip en concreto con iptables (este finde le dedicaré un rato, que estoy muy ocupado con el trabajo) pero... ¿que mas hago?
muchas veces haces un whois a una ip y te viene un mail o una www para informar sobre abusos, pero en esta me viene apenas nada:
whois 208.252.96.247
UUNET Technologies, Inc. UUNET1996B (NET-208-192-0-0-1)
208.192.0.0 - 208.255.255.255
ADP UU-208-252-96-192 (NET-208-252-96-192-1)
208.252.96.192 - 208.252.96.255
¿que hariais? (aparte de lo que ya hice, y de mirar los logs ya a diario
)
PD: por cierto, googleando viene que es UUNET es uno de los primeros proveedores de internet.....
