block ssh brute force attacks script

 

 

Uno de los problemas mas comunes para los server administrators o sysadmins de servidores linux que tienen salida al internet, es encontrar en los archivos de logs /var/log/secure miles (por no decir millones) de intentos fallidos en donde lammers o crackers tratan de conseguir accesos a nuestros servidores por medio de ataques por fuerza bruta, que es tratar de “demoler” con decenas de conexiones simultáneas probando combinaciones de users y passwords para tratar de ganar acceso a nuestro server.

 

block ssh brute force attacks script

 

Existen muchas soluciones bonitas, largas, agradables, muy pensadas, y hasta difíciles implementar. Partiendo de algunas ideas  y con la base de un script encontrado en internet, lo que se hizo fue personalizar uno para que este adaptado a CentOS y que hace lo que requerimos, verifica la cola de intentos fallidos cada 15 minutos, y si que encuentra que desde un mismo IP hay mas de 10 intentos fallidos, automáticamente lo bloquea.

Obviamente si algún usuario no se acuerda de su password, mejor que se comunique con otro que si tenga acceso al servidor para que le cambie de password, porque va a cerrar su IP por tantos intentos fallidos.

Esta adaptado para CentOS 6.X, en el mismo que nos funciona muy bien.

block ssh brute force attacks

Para usarlo, descarguen este archivo,

http://cipher.pe/download/block_ssh_brute_force_attacks.sh

desempaquetenlo, ponganlo en algún directorio, en nuestro caso /usr/sbin y ponganle

chmod +x block_ssh_brute_force_attacks.sh

y agreguen esto en su directorio /etc/crontab

0-59/15 * * * * root /bin/sh /usr/sbin/block_ssh_brute_force_attacks.sh

Y con esto, se van a dar cuenta que de a pocos se van a ir bloqueando muchas IPs de maquinas (o crackers / lammers ) que tratan de ingresar a su servidor de forma indebida.