Estoy siendo atacado por 195.116.246.11

7/10/2005 - -

Son casi las 10 de la mañana y casualmente encuentro esto en las últimas líneas de los logs del sistema mientras revisaba otra cosa:


Oct 7 09:57:34 [sshd] Invalid user roy from 195.116.246.11
Oct 7 09:57:43 [sshd] Invalid user sonny from 195.116.246.11
Oct 7 09:57:58 [sshd] Invalid user tanya from 195.116.246.11
Oct 7 09:58:09 [sshd] Invalid user sasha from 195.116.246.11
Oct 7 09:58:20 [sshd] Invalid user natasha from 195.116.246.11
Oct 7 09:58:29 [sshd] Invalid user nikita from 195.116.246.11
Oct 7 09:58:39 [sshd] Invalid user tiffany from 195.116.246.11
Oct 7 09:58:47 [sshd] Invalid user tracy from 195.116.246.11
Oct 7 09:58:57 [sshd] Invalid user firstdiv from 195.116.246.11
Oct 7 09:58:59 [sshd] Invalid user inweb from 195.116.246.11
Oct 7 09:59:00 [sshd] Invalid user imail from 195.116.246.11
Oct 7 09:59:02 [sshd] Invalid user soutec from 195.116.246.11
Oct 7 09:59:03 [sshd] Invalid user smile from 195.116.246.11
Oct 7 09:59:04 [sshd] Invalid user neoway from 195.116.246.11
Oct 7 09:59:06 [sshd] Invalid user muonline from 195.116.246.11

Esto es un ataque de fuerza bruta apoyado por un diccionario de nombres propios que tiene como objetivo, como pueden adivinar, entrar en mi sistema a través del servicio SSH.

195.116.246.11 es una ip de dospel.com, no entiendo lo que venden en esa página por el idioma, pero voy a mandarles un correo a ver que me contestan:

Looking at my logs I’ve found an IP, which you own, using brute force attacks over my IP using a name dictionary.
I recommend you check that your server hasn’t got security holes and someone is using your bandwidth to make massive attacks. Most attacks of this sort are motivated by spam in email and web applications: forums, blogs, etc.
If you need any help or advice don’t hesitate to ask me.

sincerely,
coffelius

Gracias Esther por ayudarme a confeccionar el mensaje ! (mi inglés es tan pobre que podría parecer que les estoy gastando una broma :P)

4 Responses to “Estoy siendo atacado por 195.116.246.11”

  1. diego sevilla:
    11/10/2005 - 10:35 am

    Este tipo de ataques se está produciendo MUCHO desde hace bastante tiempo. En los diez ordenadores que manejo, todos los días tengo logs de 100K de este tipo. Cogen ordenadores que los convierten en boots de prueba de ssh. Prueban usuarios “estándares” con nombres de personas y los passwords también estándares que suele usar la gente. Si da la casualidad de que en tu ordenador se cumplen esas dos cosas (usuario con nombre común y clave no muy buena), lo cual sucede en un alto porcentaje de ordenadores de la red, estás infectado.

    En cuanto a _este_ ataque en particular, basta con, o bien filtrar las IPs o bien comprobar que tus usuarios tengan claves seguras.

    Saludos!
    diego.

  2. Coffelius:
    11/10/2005 - 7:28 pm

    hola diego. me estan comentando por otros lugares que realmente el ataque es bastante popular. sin embargo no es muy comun en mis maquinas (no seran los suficientemente populares ? :P)

    alguien sabe alguna manera de loguear los usuarios y passwords que se han introducido incorrectamente en una maquina ?

    presumiblemente se podria usar la misma lista de usuarios y passwords en las maquinas de donde provienen los ataques para alcanzar acceso a ellas, no ?

  3. Aitor:
    11/10/2005 - 8:13 pm

    Se loguean en el syslog pero solo los usuarios, ni metalog ni syslogd loguea los password por lo que he podido ver.

Deja un comentario

Trencaspammers captcha