Existe un comando ssh, el cual realiza un escaneo del log «secure» y nos da un detalle de aquellas ip que estan realizando intentos de conexión y listando la cantidad de intentos.

cat /var/log/secure* | grep 'Failed password' | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -7

El código mostrará un ordenamiento de los primeros 7 (condicionado por el -7) puestos en cuanto a logueos erroneos desde cualquier IP.

La salida del comando sería, por ejemplo:

cat /var/log/secure* | grep 'Failed password' | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -7
6597 root 62.152.34.74
2351 root 122.49.119.206
1725 root 61.55.135.59
1074 root 221.181.42.1
926 root 190.24.10.11
675 root 112.216.82.130
565 root 69.64.57.155

Nos indica la cantidad de loguins erróneos, el usuario utilizado y la IP. Este comando es importantísimo dado que nos ayuda a mejorar la seguridad del server y previendo mediante un bloqueo con nuestro firewall que dichas ip sigan molestando.

La entrada ¿Como saber que IP’s están atacando nuestro servicio SSH? en centOS y RHEL se publicó primero en SoyAdmin.com.