¿Como saber que IP’s están atacando nuestro servicio SSH? en centOS y RHEL

Hace unos días indicábamos de que manera securizar nuestro SSH, hoy te mostramos de que manera detectar que IP’s están atacando el servicio y así poder bloquearlas.

Existe un comando ssh, el cual realiza un escaneo del log “secure” y nos da un detalle de aquellas ip que estan realizando intentos de conexión y listando la cantidad de intentos.

cat /var/log/secure* | grep 'Failed password' | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -7

El código mostrará un ordenamiento de los primeros 7 (condicionado por el -7) puestos en cuanto a logueos erroneos desde cualquier IP.

 

La salida del comando sería, por ejemplo:

cat /var/log/secure* | grep 'Failed password' | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -7
6597 root 62.152.34.74
2351 root 122.49.119.206
1725 root 61.55.135.59
1074 root 221.181.42.1
926 root 190.24.10.11
675 root 112.216.82.130
565 root 69.64.57.155

Nos indica la cantidad de loguins erróneos, el usuario utilizado y la IP. Este comando es importantísimo dado que nos ayuda a mejorar la seguridad del server y previendo mediante un bloqueo con nuestro firewall que dichas ip sigan molestando.

Que te pareció el Post? Comentá

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.