Barrapunto

No tengo en el log ninguna peticion siquiera al puerto 22, si tengo peticiones (no respondidas por supuesto) a los puertos 135,137,139,1027,1026, 8080, alguno que otro al 25, pero ninguno al 22, lo curioso es que escaneen el 8080 y no lo hagan con el 80 XD

Aquí se usan varios tipos de p2p, y al menos hay siempre dos permanentemente, y la verdad los logs que registran cualquier syn entrante por defecto (excepto en los "autorizados"), entre otras muchas cosas, no resultan alarmantes en absoluto.

En el puerto 22 he contabilizado unos 2 intentos diarios, y en los logs de un mes atrás tengo 67 intentos de conexión a este puerto. Cierto es que rara vez uso sshd, sólo cuando tengo previsto acceder desde fuera.

Hay muchos más intentos de conexión a los puertos de los gusanos, troyanos, ftp o https. Eso ya es cosa de los windows, que prácticamente son inofensivos.

Lo que si he notado desde hace algún tiempo es una gran cantidad de paquetes entrantes udp al puerto 500 (Internet Key Exchange) supongo que buscado algún VPN.

Para estar tranquilo, mejor que ir añadiendo a lo loco reglas en iptables que van a afectar al rendimieto del sistema, con un pequeño script lanzado desde cron que busque si en un determinado puerto hay lo que se considere demasidos intentos, se puede añadir esas ip en hosts.deny si se usan tcpwrapers o donde sea necesario. Y si se trata de un ataque por fuerza bruta, te que mande un mensaje. Y si además le echas de vez en cuando un vistazo a los logs para cotillear, raro será que te cojan por sorpresa.