¿Como saber que IP’s están atacando nuestro servicio SSH? en centOS y RHEL

Hace unos días indicábamos de que manera securizar nuestro SSH, hoy te mostramos de que manera detectar que IP’s están atacando el servicio y así poder bloquearlas.

Existe un comando ssh, el cual realiza un escaneo del log «secure» y nos da un detalle de aquellas ip que estan realizando intentos de conexión y listando la cantidad de intentos.

cat /var/log/secure* | grep 'Failed password' | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -7Lenguaje del código: JavaScript (javascript)

El código mostrará un ordenamiento de los primeros 7 (condicionado por el -7) puestos en cuanto a logueos erroneos desde cualquier IP.

La salida del comando sería, por ejemplo:

cat /var/log/secure* | grep 'Failed password' | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -7
6597 root 62.152.34.74
2351 root 122.49.119.206
1725 root 61.55.135.59
1074 root 221.181.42.1
926 root 190.24.10.11
675 root 112.216.82.130
565 root 69.64.57.155Lenguaje del código: JavaScript (javascript)

Nos indica la cantidad de loguins erróneos, el usuario utilizado y la IP. Este comando es importantísimo dado que nos ayuda a mejorar la seguridad del server y previendo mediante un bloqueo con nuestro firewall que dichas ip sigan molestando.