Uno de los problemas mas comunes para las personas que administramos servidores linux que tienen salida al internet, es encontrar en los archivos de logs miles (por no decir millones) de intentos fallidos en donde lammers o crackers tratan de hacer ataque por fuerza bruta, que es tratar de “demoler” con decenas de conexiones simultáneas probando combinaciones de users y passwords para tratar de ganar acceso a nuestro server.
Que triste la vida de los crackers / lammers, que lo que buscan es fastidiar, en lugar de construir como los verdaderos hackers.
Bueno pues, para estos graciosos que lo unico que hacen es fastidiar para tratar de tomar control de tu server, porque me parece que “nunca tienen nada que hacer”, pues me puse a investigar por ahi hace algunos meses y encontré varias soluciones.
Entre soluciones bonitas, largas, agradables, muy pensadas, busqué algunas ideas, y partiendo de la base de un script, lo que hice fue crear uno nuevo y que hace lo que yo quiero, verifica la cola de intentos fallidos cada 15 minutos, y si de un mismo IP hay mas de 10 intentos fallidos, automáticamente lo bloquea.
Obviamente si alguno de nuestros usuarios no se acuerda de su password, mejor que llame a otro para que le cambie de password, porque va a cerrar su IP.
Esta adaptado para CentOS 5, en el mismos que me funciona muy bien.
block ssh brute force attacks
Para usarlo, descarguen este archivo,
http://static.alexceli.org/linux/block_ssh_brute_force_attacks.tar.gz
desempaquetenlo, ponganlo en algún directorio, en mi caso /usr/sbin
y agreguen esto en /etc/crontab
0-59/15 * * * * root /bin/sh /usr/sbin/block_ssh_brute_force_attacks.sh
Y con esto, se van a dar cuenta que de a pocos se van a ir bloqueando muchos “graciosos” que tratan de meter sus narices donde no les importa.
Alex Celi