Últimamente, y sobre todo desde que he alquilado la instancia en el VPS, me preocupa bastante el tema de los accesos externos. Mejor dicho, el intento de acceso. Cada día me llega un reporte al correo.Entre otros datos, busca en /var/log/auth.log los intentos fallidos vía SSH. A las 07:30 con puntualidad británica recibo el email. Sopresa, la IP 61.185.XXX.XXX , ha intentado logearse como root(mal hecho, porque sshd no lo permite) 61 veces. ¿ Qué hago ?. Lo primero una consulta GeoIP.
[root@osama]geoiplookup 61.185.XXX.XXX
GeoIP Country Edition: CN, China
China! No me extraña.A indagar.Bingo, he encontrado la IP en una lista de IPs que suelen hacer "cosillas de esas que nos gustan a veces, pero que no nos gusta nada que nos hagan...BruteForce". He visto que hay gente que se curra un especie de BlackList para evitar este tipo de ataques. Uno para FreeBSD que tiene buena pinta es este.
Ahora, como soy un poco paranoias, juego un poco con Nmap.
Interesting ports on 61.185.XXX.XXX:
Not shown: 1699 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp closed telnet
25/tcp open smtp
53/tcp closed domain
80/tcp open http
110/tcp open pop3
113/tcp closed auth
143/tcp open imap
443/tcp open https
444/tcp closed snpp
515/tcp closed printer
1935/tcp closed rtmp
3389/tcp closed ms-term-serv
5631/tcp closed pcanywheredata
8080/tcp closed http-proxy
En fin, podría usar Hydra en intentar tocarle un poco los webs. Pero creo que voy a crear un pequeño script que escanee su IP como un loco N veces. Hoy como es día 23, pues 23 veces al día durante 1 semana. Seguro que no sirve de nada,pero me puedo divertir un rato.
Otro link interesante es este. Nos da mucha información sobre al IP: AS, Pais....etc.