Barrapunto

Vengo viendo ataques de estos desde hace como un año y el rastrear la IP no sirve de mucho, generalmente son direcciones fake, o sea que se ponen direcciones que no les pertenecen. Como trabajo bajo subcontrato para algunas empresas montándoles servidores, generalmente los entrego con claves extremadamente simples con la advertencia que ellos las cambien inmediatamente y que yo no la sepa, bueno hubieron algunos que no las cambiaron y estos servidores cayeron con el ataque, lo que me permitió rastrear el asunto: Primero adivinan la clave de root con fuerza bruta y un diccionario, me dí cuenta que era un programa porque en los logs aparecía hasta dos intentos por segundo. Generalmente quienes conducen estos ataque son script kiddies, porque una vez irrumpieron ni siquiera fueron capaces de borrar las huellas, pude ver incluso el .bash_history para darme cuenta que instalan un root kit en /tmp, el cual lo decargan de un sitio de warez, este rootkit comienza a explorar más equipos que tengan el puerto ssh abierto y les genera una lista de direcciones, y así apuntan el ataque a otros equipos. La mejor manera de frenar estos ataques es poniendo un máximo de reintentos y una clave fuerte. Saludos.

como lo haces porque he probado con el faillog y no hay manera de que me funcione.