Quién está conectado a mi equipo (programa, formato numérico, todo, TCP, UDP):
$ netstat -pnatu
Cómo detectar accesos no autorizados
$ cat /var/log/auth.log
Por ejemplo podríamos encontrar este intento de inicio de sesión recurrente desde China:
Sep 6 14:58:13 miservidor sshd[13725]: Received disconnect from 116.31.116.40 port 55842:11: [preauth] Sep 6 14:58:13 miservidor sshd[13725]: Disconnected from 116.31.116.40 port 55842 [preauth] Sep 6 14:58:13 miservidor sshd[13725]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.40 user=root Sep 6 14:58:49 miservidor sshd[13727]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.40 user=root Sep 6 14:58:51 miservidor sshd[13727]: Failed password for root from 116.31.116.40 port 44324 ssh2 Sep 6 14:58:56 miservidor sshd[13727]: message repeated 2 times: [ Failed password for root from 116.31.116.40 port 44324 ssh2] Sep 6 14:58:56 miservidor sshd[13727]: Received disconnect from 116.31.116.40 port 44324:11: [preauth] Sep 6 14:58:56 miservidor sshd[13727]: Disconnected from 116.31.116.40 port 44324 [preauth] Sep 6 14:58:56 miservidor sshd[13727]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.40 user=root
Claramente, este usuario merece ser baneado.
$ iptables -A INPUT -s 116.31.116.40 -j DROP
O podríamos ser más compasivos, solo limitando el acceso al puerto ssh
iptables -A INPUT -s 116.31.116.0/8 -p tcp --destination-port 22 -j DROP
Podemos guardar y cargar las iptables con:
iptables-save > ~/myfirewall.confiptables-restore < ~/myfirewall.conf
Deja una respuesta