Uno de los problemas principales que nos encontramos al administrar un servidor web son los ataques. A menudo detectamos ataques de fuerza bruta intentando acceder a nuestros servidores, ya sea vía SSH o FTP. Por eso insistimos a menudo en no usar contraseñas poco seguras o fáciles de recordar.
Los ataques de fuerza bruta se basan en usar diccionarios de combinaciones de contraseñas típicas o sencillas. Básicamente van intentando contraseñas típicas de una lista, hasta conseguir acceder en nuestro sistema. Hoy veremos cómo detectar un intento de acceso no deseado y bloquear IP con IPTABLES.
¿Cómo detectamos si nuestro servidor está sufriendo un ataque de fuerza bruta?
Todos los servidores guardan un registro o log de inicio de sesión, ya sea distribución Windows o Linux. En el caso de linux, estos logs se almacenan en /var/log
En nuestro caso concreto detectamos que el archivo /var/log/btmp ocupa 1.3 GB de tamaño. Este log es el que almacena información de inicio de sesión de error.
¿Cómo visualizar el contenido de los logs de errores?
Para ver los últimos intentos de inicio de sesión erróneos en Linux ejecutamos el siguiente comando:
lastb
¿Cómo proteger mi servidor Linux de ataques de fuerza bruta?
¿Cómo bloquear Ip con IPTables?
iptables -L -n
iptables -I INPUT -s xx.xx.xx.xx -j DROP
iptables -I INPUT -s xx.xx.xx.xx -j ACCEPT
En este interesante vídeo podéis ver en detalle como funciona IPTables y cómo configurarlo:
Aunque es un trabajo muy manual, si detectamos en los logs que hay una IP, o un grupo de IP’s que están intentando acceder a nuestro servidor de forma repetitiva, es muy importante bloquearlas.
Además, es muy importante revisar de forma periódica los logs de nuestros servidor, para detectar este y otro tipo de problemas que pueden suceder, como problemas de espacio, error de tareas programadas etc…
En XpertiX somos especialistas en la administración de servidores, si quieres tener tus servidores funcionando correctamente las 24 horas no dudes en contactar con XpertiX.